セキュリティーソリューションの一つEDRとは？他セキュリティとの違いと比較を解説

セキュリティ対策として「エンドポイントセキュリティ」という言葉が聞かれるようになりました。ネットワークに接続する端末やIoT機器といったエンドポイントを保護することは、サイバー攻撃の被害を最小化することにもつながります。その方策として注目されているのがEDRです。EDRはどのような特徴があるのか、アンチウイルスソフトに代表される従来のエンドポイントセキュリティとどう違うのかについてご紹介します。

EDRとは

EDRとはEndpoint Detection and Responseの略で、エンドポイントの操作・動作の監視を行い、不審な挙動を検知する機能を持ちます。
エンドポイントという単語は英語に訳すと「終点、端点」となりますが、IT用語ではネットワークに接続して通信を行う物理的な端末や機器のことを意味します。エンドポイントは利用者が使うPCやタブレット、携帯電話等だけでなくサーバーやネットワーク機器、プリンターなども含まれます。

最近ではIoTの普及により、カメラ、照明、冷蔵庫といったものもインターネットに接続されるため、エンドポイントに含まれるようになりました。
EDRはエンドポイントのネットワークの接続、ファイルの操作、レジストリの変更、といった各種プロセスのログを常時監視します。EDRの製品としては端末側に専用のソフトウエアを導入するエージェント型と導入不要なエージェントレス型があります。
エージェントレス型は全ての端末にソフトウエアを導入する必要がないため導入や管理の手間が軽くなりますが、収集できる情報が限定されるというデメリットがあります。
EDRの基本機能としては、次のようなものがあります。

●ログ収集機能
エンドポイントのログをリアルタイムで収集します。

●検知機能
収集したログをサーバーで自動解析します。過去のログやEDRベンダーのデータベース、AI等を活用して、不審な挙動や感染を検知し管理者に通知します。

●隔離機能
マルウェアを検知すると、該当するプロセスを自動で停止します。感染したエンドポイントを隔離して被害を局所化することで感染拡大を防ぎます。侵入経路や感染範囲を特定する作業も含まれます。

●復旧機能
マルウェア感染により隔離したエンドポイントのマルウェアを駆除することが可能です。駆除した場合、エンドポイントはそのまま安全に使用することができます。
このようにインシデントの解析から復旧までを対応できるのがEDRの特徴と言えます。

EDRが注目されている理由

EDRが注目されている大きな理由は、サイバー攻撃が企業・組織に与えるダメージが深刻になっていることです。
2000年代に入ってインターネット回線が高速化したことから、マルウェアの感染や不正アクセス、情報漏えいといったセキュリティインシデントが爆発的に増加しました。
こうしたサイバー攻撃を防御するためにさまざまなセキュリティ製品が登場していますが、攻撃者は既知の防御の隙をついた巧妙な攻撃を仕掛けるため、防御が完全に後追いになっています。

マルウェアに感染したことでシステムが暗号化され、復号化と引き換えに金銭を要求するランサムウェアの手口も横行しており、企業や組織が事業を継続できない状況に追い込まれるセキュリティインシデントも後を絶ちません。
さらに新型コロナウイルス感染症拡大の影響によりテレワークが普及したことがセキュリティ対策を変化させる要因になっています。従来のセキュリティ対策は、FW（ファイアーウォール）やIDS（不正検知システム）といった社内ネットワークとインターネットの境界線上で不正な通信をブロックするいわゆる「境界防御」の対策が中心でした。

しかし現在はテレワークの普及によって従業員が自宅から社内ネットワークに接続しています。
自宅では、企業のように強固な境界防御は不可能です。そのため自宅の端末の脆弱性をついてマルウェアを感染させ、社内ネットワークに攻撃を仕掛けるというセキュリティインシデントも発生しています。

このような状況では攻撃を完全に防御することは不可能で、攻撃を受けることを前提とした対策をせざるをえません。攻撃を受けた場合でも被害を最小化するには、攻撃の入り口となる端末を迅速に突き止め、必要に応じて隔離する必要があるため、EDR製品に注目が集まっているのです。

EDRと従来型ウイルス対策ソフト（EPP）との違いとは？

他にエンドポイントセキュリティ製品としては、「EPP」があります。EPPはEndpoint Protection Platformの略で、社内ネットワークに侵入したマルウェアを検知し、自動的に駆除したり、マルウェアの実行を防いだりする機能があります。
EPPで代表的な製品としてアンチウイルスソフトがあります。アンチウイルスソフトの導入率は9割を超えており、普及しているセキュリティ対策と言えるでしょう。EPPでは侵入した既知のマルウェアを検知して感染を未然に防止します。

アンチウイルスソフトはセキュリティベンダーが持つ脅威情報のデータベースに既知のマルウェアのパターンを登録しておき、侵入してきたものと照らし合わせてマルウェアを検知する「パターンマッチング」の方式をとります。
EDRとEPPの違いは、EPPが「マルウェア感染の防止」が目的であるのに対して、EDRは「感染被害の復旧」が目的であることです。EPPはマルウェア感染を未然に防ぐツールですが、未知の脅威が検知できません。

最近ではマルウェアを作るツールも出てきており、専門的な知識が少なくても簡単に新しいマルウェアを作ることが可能になっています。そのためマルウェアの種類が日々増えており、既知の脅威をデータベース化するだけでは検知が追い付かないのが実情です。
パターンマッチングだけでなく振る舞い検知やAI・機械学習の技術を活用して未知のマルウェアを検知する「NGAV（Next Generation Anti-Virus：次世代型アンチウイルス）」も登場していますが、完全に検知できるわけではありません。

そのため攻撃されるのを前提として、早期に侵入を検知し被害を最小限に抑えるEDRが注目されるようになったという経緯があります。EDRにはEPPを補完し、速やかな対応・復旧を目指す役割があると言えるでしょう。

EDRとNDR、XDRとの違いとは？

EDRと同じくサイバー攻撃による侵入を前提とした防御を行う製品として「NDR」があります。NDR（Network Detective and Response）とはネットワーク上の様々なログを収集し、分析して脅威を検知するツールです。
EDRが各エンドポイントの不審な挙動を検知するのに対して、NDRはネットワークのトラフィックから異常な通信を検知するという違いがあります。
そしてEDRとNDRの仕組みを統合して管理する製品「XDR（eXtended Detection and Response）」が登場しました。

エンドポイント対策であるEDRの守備範囲を拡張する（Extended）というコンセプトをベースに、対策の対象を限定しないという意味で変数としての「X」を頭文字につけています。エンドポイント、プロキシサーバー、Webアクセス、メール、といった様々なログを収集し、例えばエンドポイントとプロキシサーバーのログの相関関係から不審な挙動を検知するといったことが可能になります。

NDR、XDRが登場した背景には、近年のサイバー攻撃が国際的な闇ビジネスとなり組織化している点があります。例えば、ある端末にマルウェアを感染させると、外部のC&C（コマンド・アンド・コントロール）サーバーがインターネットを通じてマルウェアに指令を出し、社内ネットワークを移動します。
そして複数のコンピューターを制御しながら最終的にADサーバーで権限を不正に付与して機密情報を持ち去るという、非常に組織的な仕組みです。EDRでエンドポイントの感染を検知して被害を局所化することも大切ですが、EDR単体ではこうした攻撃を検知できない場合があります。ネットワークの様々な通信と照らし合わせて総合的に解析し、不審な挙動を検知する必要が出てきたのです。

EDR導入ポイント

EDRを導入する際は、以下の点に注意する必要があります。

●選定にあたり第三者評価レポートを活用する
EDR製品は何十種類とあり、比較・検討するのも時間がかかります。この場合、第三者評価レポートが参考になります。ガートナーの「Gartner: Magic Quadrant for Endpoint Protection Platforms」やフォレスターの「The Forrester Wave™: Endpoint Detection And Response」等があります。

●管理するべきエンドポイントのOSに対応しているかを確認する
エージェント型の場合は対応OSが限定されている場合があり、エンドポイントを包括的に管理することが困難になります。特に工場のIoT機器は独自OSを使用している場合があり、注意が必要です。

●実際に導入する価値があるかを検討する
EDRに限らずセキュリティ製品は費用対効果が明確になりにくいものですが、EDRを導入して効果が得られるかという検証は必要です。
導入したものの、運用できる人がいない、機能がわかりにくくて調査できない、管理できる範囲が限定されてエンドポイントセキュリティ強化につながらない、といった事態になってしまったら導入する価値がないからです。評価版やキャンペーン特価を活用して、実際に運用ができるのか、どのようなセキュリティリスクが抑えられるのか、といったことを検証しましょう。

●導入・運用できる体制を検討する
EDRがエージェント型の場合、全てのエンドポイントにソフトウエアを導入する必要があり、管理者の重い負担になります。またEDRの効果を得るには、検知からトリアージ（緊急度や重要度などの指標から優先度を付ける）、分析、対処までを繰り返し行うことでスムーズな初動対応を行えるようにすることが重要ですが、こうした運用を回すためには、体制が必要になります。
EDRは24時間監視と解析を行うSOC（Security Operation Center）組織と組み合わせると効果を発揮します。SOC機能を外部委託して、外部の知見を活用し社内で運用する負担を軽くする方法もあります。

企業の「内」と「外」の境目が曖昧になってしまった現状では、エンドポイントを保護することはセキュリティ対策の基本です。従来のセキュリティ対策を見直す第一歩として、EDRは大きな役割を果たすでしょう。

システム運用担当者さま必見！お役立ち資料

ゼロトラスト時代、変化するセキュリティトレンドと今後の対策が分かるお役立ち資料です。

この記事の著者

ReSM（リズム）サービス担当者

ReSMサービスはシステム運用の「 {re} design 」をコンセプトに、 「最適な運用」を「最適な価格」でご提供するマネージド・サービス・プロバイダーです。 クラウドの導入支援から安心の運用監視・保守までをトータルでご提案できます。