ITキーワード

EDR 製品はどのようなもの?機能やメリットについて解説

毎日のように新しいマルウェアが誕生するなど、年々サイバー攻撃の手口は巧妙化しています。企業にとってサイバー攻撃を防ぐ対策はもちろんのこと、攻撃を受けてしまったあとにどう対応するのかという観点でのセキュリティ対策も重要です。この記事では、サイバー攻撃を受けてしまったあとに有効な EDR 製品について解説します。ぜひ参考にしてください。

EDR とはどのような製品か?

EDR は Endpoint Detection and Response の略で、パソコンなどのエンドポイントを監視する製品です。脅威が大きいとされる標的型攻撃やランサムウェアに有効であるセキュリティソリューションで、異常な挙動を素早く検知して対処するために利用します。

サイバー攻撃の手口が巧妙化して完璧な防御が難しくなっているため、攻撃されるのを前提とした対策も必要となっています。EDR はマルウェアの感染を防ぐためだけでなく、感染にいち早く気づくために有効なツールです。

EDR 製品の特長

EDR 製品は、そのセキュリティ対策に特長があります。ここでは、EDR 製品の特長について解説します。

エンドポイントを監視する

EDR はパソコンやタブレットなどのエンドポイント向けのセキュリティソリューションで、端末の挙動を監視する機能が備わっているという特長があります。ネットワーク接続情報やレジストリの変更履歴など、端末の動作ログを収集して分析を行い、異常な動きを検知します。異常があれば端末の隔離やシステム停止など、必要な対処を行います。

ウイルスを防ぐための対策だけでなく検知する

EDR は端末のウイルス感染を防ぐためだけではなく、ウイルス感染をいち早く検知することができます。サイバー攻撃は巧妙化してきており、さまざまな対策をしていても100%の防止は非常に難しいという現状があります。そのため、攻撃を受けてからの対処法を検討しておく必要があり、攻撃をいち早く検知できる EDR の重要性が高まっています。

EDR 製品機能

EDR にはいくつかの機能があり、どれもサイバー攻撃の検知や対応に重要な役割となっています。ここでは、EDR 製品の機能について解説します。

端末の監視

EDR は端末の各種ログを監視し、ファイル操作やレジストリ情報などの動作情報を記録します。情報を盗み出す目的のマルウェアなどは、感染しても表向きの動作には異常を来さないものがあるため、深刻な事態となって初めて感染が発覚するケースも少なくありません。常に端末を監視し、異常な操作ログなどが残っていないか確認しましょう。

異常箇所の検知

EDR には異常箇所を検知する機能も備わっています。端末から収集したログを解析し、マルウェアや不正プログラムなど、各種インシデントが起きているかどうかの確認が可能です。何か異常な挙動があればいち早く検知し、ユーザーやシステム管理者へアラートを出します。

異常部分の分析

マルウェアなどの異常箇所を検知したら、挙動を時系列で分析します。感染が確認された端末がどこにログインしたのか、何を通信したのかなどを分析し、被害の大きさを解析する機能です。マルウェアに感染した端末がどのような挙動をしたのか解析すると、具体的な被害箇所の特定につながり、その後の対処方法の決定にも役立ちます。

脅威に対する対策

マルウェア感染が発覚したら、インシデントの脅威をなるべく小さくするための対策が必要です。EDR はそのための機能として、脅威を発見したら端末をネットワークから遮断し、システムの制御などを行います。EDR では、危険なファイルの削除や操作の強制終了、端末の再起動なども可能です。

EDR 製品が重要である理由

新型コロナウイルス感染症の広がりや働き方改革などのため、テレワークを導入する企業が増えています。テレワークを行う場合、外部のネットワークから業務システムへのアクセスが必要なため、セキュリティ対策は必須です。

また、インターネットが普及するにつれてサイバー攻撃も増えています。サイバー攻撃の手法は常に新しくなっており、すべてを未然に防ぐのは難しいでしょう。そのため、EDR のようにマルウェアに感染するのを前提として、攻撃をいち早く検知するための仕組みが必要とされています。

EDR 製品を導入するメリット

EDR 製品の導入には、さまざまなメリットがあります。ここでは EDR 製品を導入するメリットについて解説します。

感染後の対策ができる

EDR の大きなメリットは感染後の対策ができるという点です。もちろん、ウイルスに感染しないようにするのが一番ですが、脅威が大きい標的型攻撃などは未然に防ぐのが難しいとされています。

標的型攻撃による大規模な被害の代表例が日本年金機構の個人情報流出事件でしょう。この事件では、一見業務に関係があるようなメールに偽装され、職員が危険を感じずに開封してしまったことが原因でした。

EDR を導入していれば、感染しても素早く検知や対策ができ、被害の規模を小さくできる可能性もあります。感染後の対策によって被害の大きさが変わるケースもあるため、EDR の導入は効果的でしょう。

マルウェアを素早く検知

EDR 製品は振る舞い検知や機械学習によってマルウェアを検知します。リアルタイムに分析できるため、感染してから短い時間での検知が可能です。ウイルス対策ソフトのパターンマッチングでは検知できない未知の脅威についても、検知までの時間が早くなり、復旧までの時間を短くできるというメリットがあります。

ウイルスがどこから侵入したのかを特定できる

EDR はログを分析・可視化して不正プログラムや不正アクセスの痕跡をたどれるという機能もあります。どの端末からウイルスが侵入したのかを突き止め、適切な対処が行えるでしょう。侵入箇所を特定できれば、そこからどのようにウイルスが挙動したのか追跡し、早急な対策が可能です。

被害を最小限に食い止められる

EDR はウイルスを検知すると即座にアクセス遮断などの対策をとります。そのため、他の端末にウイルスが広がる、多くの情報を盗まれるといった被害の拡大を防げます。また、攻撃者のおもな目的は端末に保存されている情報です。エンドポイントを常に監視して守っておくと、攻撃者が目的としている情報を守れるというメリットもあります。

EDR 製品の選び方

EDR 製品にはさまざまな種類があるため、自社にあった製品を選ぶ必要があります。ここでは、EDR 製品の選び方について解説します。

検知機能の精度

EDR 製品は、それぞれ機能の精度が異なります。未知のマルウェアまで検知が可能かどうか、どのようなサイバー攻撃に有効なのかなどをチェックし、求める精度の製品を選びましょう。日々新しい攻撃が生まれている現状に対応するためには、しっかり脅威を検知できる EDR 製品を導入する必要があります。

分析機能の精度

EDR 製品は検知機能だけでなく分析機能の精度も重要です。振る舞い検知は正常な動作も異常と判断してしまうケースもあります。あらゆる異変に対して敏感に検知が可能な製品はセキュリティ性が高くなりますが、それだけ現場は度重なるアラートの対応に追われてしまうかもしれません。

脅威に対する判定はどのような情報を活用しているのかも確認してから製品を選びましょう。

EDR 製品を導入して適切に運用するために

これまで述べてきたとおり、EDR 製品には多くのメリットがあり、エンドポイントセキュリティのためには、EDR の活用が効果的です。EDR の導入自体、難しいということはありませんが、一方で導入後の運用や監視に苦労するケースも少なくありません。

EDR を導入して適切に運用するには、そのためのリソースが必要です。社内で対応できる人材が足りない場合、EDR 製品のアラート対応や検知したウイルスの確認などに人手が取られ、通常業務に影響が出る可能性があります。逆に、通常業務で手一杯でアラートへの対応が遅れるという事態も考えられます。

このような場合、総合的なサポートが受けられるソリューションの導入がおすすめです。サイバー攻撃はいつ起こるのか予測できません。監視や運用を任せられるサービスを活用して脅威に備えておきましょう。

まとめ

EDR は端末をサイバー攻撃から守るために役立つソリューションです。サイバー攻撃を防ぐ対策も必要ですが、攻撃を受けてしまったあとの対策も重要なため、自社にあった EDR 製品を導入し適切に運用しましょう。

SBテクノロジーでは、EDR のセキュリティ監視サービス「MSS for EDR」を提供しています。EDR 製品で検知したセキュリティ機能を利用して、セキュリティ専門アナリストによる適切な対処が可能です。緊急時にはユーザーに代わって抑制対応も可能なため、高セキュリティな EDR 運用を求めている場合は、ぜひ資料をご請求ください。