セキュリティ対策のEDRとは?機能や必要な理由とEPPとの違いを解説

年はサイバー攻撃が増加しているため、多くの企業や組織がセキュリティ対策に乗り出しています。セキュリティを高める手段はいくつも存在しますが、それらの中でも注目を集めている手法がEDRです。従来のセキュリティソリューションでは対策が難しかった攻撃でも、EDRならば防げる場合があります。
現在では非常に重要なソリューションですが、新しいセキュリティ対策ということもあり、詳細を理解できていない人はいるでしょう。今回は、基本機能や必要となる理由から、今までのソリューションであったEPPとの違い、導入によるメリットやポイントまで解説します。
EDR(Endpoint Detection and Response)とは

まず、EDR(Endpoint Detection and Response)とはどのようなセキュリティ対策ソリューションであるのか理解していきましょう。
EDRの基本機能
EDRとは、エンドポイント端末を監視して、不審な通信や動作などが発生していないかを検知するためのセキュリティソリューションです。エンドポイント端末とは、パソコンやスマートフォンなどのデバイスをイメージすれば良いでしょう。
不審な動きを検知するために、EDRはエンドポイントの動きをリアルタイムで常に監視しています。リアルタイムで監視していることによって、何かしら不審な動きがあった場合に、速やかに対応できるという仕組みです。監視の方法はいくつか存在しますが、一般的にエンドポイントのログから、日頃と異なった振る舞いが生じていないかどうかを確認します。
なお、不審な動きを検知するだけではなく、管理者に通知する機能なども有しているソリューションが大半です。結果、通知内容に応じた最善の行動が取れます。
EDRが必要な理由
近年は、サイバー攻撃が多様化していることもあり、従来のアンチウイルスやファイアウォールなどのソリューションでは対応できなくなってきました。しかし、EDRはデバイスに侵入してからの行動を監視しているため、仮に侵入を許してしまったとしても、被害を最小限に抑えられます。このようなサイバー攻撃の多様化によりEDRが必要な状況だといえます。
また、テレワークの普及により、社外でパソコンを利用する機会が増えたこともEDRが必要となる理由です。以前は、セキュリティが担保されたネットワークの内部でエンドポイント端末を利用していましたが、現在はそうとは限りません。各々の自宅は、どのようなネットワーク環境であるか把握できず、セキュリティが低い可能性があります。今までよりもリスクにさらされやすい環境でエンドポイント端末が利用されることも、EDRが必要とされるようになった大きな理由だと考えましょう。
EDRとNGAVやMDRとの関係性
EDRと混合されやすいキーワードに「NGAV」や「MDR」があります。
まず、NGAVは「Next Generation Anti Virus」の頭文字を取ったもので、次世代アンチウイルスと呼ばれます。以下で説明するEPPに分類されるセキュリティソリューションで、未知のマルウェアでも侵入を妨害できる新しい仕組みです。
また、MDRは「Managed Detection and Response」の頭文字を取ったもので、外部の専門家にマネジメントしてもらい、攻撃の検知や対応を高速化するサービスです。セキュリティソリューションではなく、セキュリティサービスであるため、根本的にEDRと大きく異なります。
EDRとEPPの違い
EDRと比べられやすいセキュリティソリューションがEPP(Endpoint Protection Platform)です。これらの違いを正しく理解しておきましょう。
EPPは、特定のネットワーク内部のものは信頼できるものの、ネットワーク外部は危険であるとの前提です。そのため、いわゆる「水際対策」と呼ばれるものに分類されるセキュリティソリューションであり、内部に侵入されてからのトラブルは想定できていません。ファイアウォールなど、内部への侵入を防ぐセキュリティ対策を中心に構築されます。
対して、EDRは「ゼロトラスト」と呼ばれ、内部のデバイスや通信であっても信頼しません。内部についても、疑いを持って監視することによって、不審な通信などを発見できるという仕組みです。前提としている部分が異なるため、セキュリティを高める方法や監視の対象なども大きく異なります。
導入の目的
EPPを導入する目的は、内部に脅威が侵入しないように防御することです。今までに発見されたマルウェアのパターンを学習しておき、それらを利用して侵入を未然に防ぎます。例えば、過去にマルウェアと特定されたプログラムの内容を学習し、それに一致する通信があれば遮断するなどです。過去の事例を踏まえて、サイバー攻撃を遮断することが目的と理解すれば良いでしょう。
EDRはこのようなサイバー攻撃の遮断よりも、侵入されてしまってからの対応を目的としています。従来のセキュリティソリューションは侵入されてしまうと十分なセキュリティ効果を発揮できなかったため、考え方が大きく変わりました。結果、EPPでは対応が難しかった今までに発見されていないマルウェア、未知の脅威にも対処できるようになっています。
苦手なセキュリティ分野
事前にパターンを学習しなければ動作しないため、EPPは未知の脅威に対応しづらいという課題があります。今までに発見された脅威の亜種など、従来のパターンで対応できることもありますが、基本的にEPPでは対処が難しいと考えるべきです。また、侵入されてしまうと、EPPのソリューションではそれらを検知したり攻撃を防いだりできません。
EDRは上記のような課題には対応できますが、監視の対象はエンドポイント端末だけです。それら以外については監視できず、脅威の検出もできません。監視の対象が限られることで、担保できるセキュリティにも限界が出てしまうため、そこがEPPとEDRの違いと考えられます。
なお、苦手なセキュリティ分野を踏まえると、EPPとEDRはどちらも導入すべきです。従来のセキュリティ対策であるEPPで、可能な限り脅威の侵入を防ぎ、新しいセキュリティ対策であるEDRで侵入してしまった脅威に対応します。
EDRの導入による3つのメリット

EDRの導入にはいくつものメリットがありますが、今回は特に注目したい3つを紹介します。
- 脅威をリアルタイムに検知できる
- 新しい脅威も対策できる
- 情報収集や可視化にも対応している
脅威をリアルタイムに検知できる
セキュリティ対策の中でも、侵入してしまった脅威をリアルタイムに検知できることがメリットです。脅威による被害を最小限に抑えるためには、できるだけ早く行動しなければなりません。それを支援してくれるという点で、EDRには大きな魅力があります。
例えば、社内のエンドポイント端末にマルウェアが侵入したことを検知できると、社内ネットワークから早急に切り離すことが可能です。 ネットワークに接続したままであると、他の端末にマルウェアが感染するなど被害が拡大しかねませんが、EDRで検知できれば被害は最小限で済みます。また、外部と通信して情報を漏洩させるような動きも遮断できるでしょう。リアルタイムに検知できるかどうかは、被害を最小限に抑えられるかどうかに大きな影響を与えます。
新しい脅威も対策できる
パターンに沿った脅威の検知ではないため、新しい脅威にも対応できることが特徴です。EPPなど従来のセキュリティソリューションは、新しく登場した脅威に対応しづらいという課題がありましたが、EDRはこの課題を解決しています。
近年は、新しいサイバー攻撃が次々と生み出されていて、企業や組織の担当者は対応に追われている状況です。負荷のかかりやすい状況が続いていますが、EDRを導入しておけば、最小限の運用で済ませられます。セキュリティソリューションによって新しい脅威を対策できるだけではなく、担当者の負荷も軽減できるため、多方面にメリットがあるといえるでしょう。
情報収集や可視化にも対応している
基本的には内部に侵入した脅威を検知するものですが、製品によっては情報収集や可視化にも対応しています。例えば、現在は何台のエンドポイント端末が接続されていて、それぞれの端末に怪しい動きがないか集計するなどです。また、単純にデータを収集するだけでは人間が読み取りづらいため、それを回避するためにグラフなどで可視化するツールが含まれている場合があります。
具体的にどのような機能が搭載されているかは、利用する製品によって変化する部分です。一概にどのようなメリットがあるとは断言できませんが、セキュリティ対策以上の機能も有していることは、EDRのメリットと考えられます。
EDRを導入する際のポイント

EDRを導入したいと考えているならば、以下のポイントを踏まえて製品を選択するようにしましょう。
- 検知・分析の能力
- セキュリティの範囲
- 運用の負荷
検知・分析の能力
セキュリティソリューションであるため、どのように検知したり分析したりできるのか「能力」に注目しなければなりません。近年はどの製品も非常に高い能力を有していますが、すべての製品が同じというわけではありません。検知できるサイバー攻撃の種類やその方法に少しずつ違いがあるため、自分たちに適したものを選択するようにしましょう。
コストをかけてEDRを導入しても、その内容が自分たちに適したものでなければ効果を発揮できません。概ね、導入しているだけで効果を発揮してくれますが、細かな部分については比較したり専門家の意見を得るようにしたりしましょう。
セキュリティの範囲
EDRはエンドポイントを守るためのセキュリティソリューションで、厳密にはそれ以外の部分を含みません。しかし、現在のEDRの中には、エンドポイント以外のセキュリティソリューションも含まれているものがあります。もし、総合的なセキュリティソリューションを導入したいと考えているならば、そのような製品を選択することがポイントです。
逆に、EPPなど別のセキュリティソリューションが導入されているならば、EDRの機能に特化したものを選択した方が良いでしょう。同じセキュリティ範囲で複数のソリューションを導入しても、コストが高まるだけで効果が極端に高まるわけではありません。
運用の負荷
EDRを使いこなすにあたって、どの程度の運用負荷が生じるかは非常に重要です。例えば、EDRを運用するためにIT部門の担当者が長時間残業しなければならない状況は理想的とはいえません。新しいソリューションを導入すると、負荷が高まってはしまいますが、費用対効果や現場の意見を踏まえるという視点が大切です。
なお、EDR製品によっては、運用の代行サービスを提供している場合があります。例えば、社内でセキュリティの担当者を準備しなくとも、EDR製品を開発するベンダーが運用を支援してくれるケースです。導入とは別にコストが発生しますが、社内での運用負荷が極端に高いならば、このような選択肢も検討するようにしましょう。
法人向けセキュリティ対策ならPCホスピタルにお任せください
EDRはエンドポイント端末を監視することによって、不審などを検知するソリューションです。今までのセキュリティソリューションは、脅威が侵入できないようにすることを重視していましたが、EDRは侵入した場合の検知を重視しています。サイバー攻撃の発生にいち早く気づくことで、被害を最小限に抑えられる仕組みのため、現時点で導入していないならば検討をおすすめします。
ただ、エンドポイントに特化したセキュリティソリューションであり、EDRだけで完璧なセキュリティが実現できるわけではありません。EPPなど、複数のセキュリティソリューションを導入することでセキュリティは強化されるため、組み合わせた利用を意識しましょう。
適切なセキュリティソリューションを導入するためには、セキュリティについての専門知識が必要です。PCホスピタルには、多くの企業にセキュリティソリューションを提供した実績を持つ担当者が在籍しています。皆さんの状況を踏まえて適切なソリューションを提案できるため、是非とも一度ご相談ください。