EDRとは「Endpoint Detection and Response」の略で、PC・スマホなどのエンドポイントにおける脅威の検出や対処を行うセキュリティシステムのことです。サイバー攻撃が多様化し、より高度なセキュリティ対策が必要とされている現代において、EDRをはじめとするエンドポイントセキュリティは注目されています。
この記事では、EDRの基本情報に加え、選ぶ際のポイントや運用時の注意点について詳しく解説します。自社のセキュリティ対策をより強固なものにしたいと考えている方は、ぜひ参考にしてください。
目次
EDRとは?
EDRが注目される背景
- サイバー攻撃の多様化・高度化
- モバイル端末など感染経路の増加
- リモートワークの普及
EDRの仕組み
- 監視・検知
- 分析
- インシデント対応
- 予防
EDRとEPPの違い
- EPPの種類
EDRを選ぶ際に注目すべきポイント
- 検知方法
- コスト
- サポート体制
- 提供形態
- 他のツールとの連携
- 導入のしやすさ
EDRを導入・運用する際の注意点
- 侵入・攻撃そのものは防げない
- 環境に負担がかかる
- 知識・スキルを持つ人材が必要となる
- 他のツールとの併用が推奨される
まとめ
1.EDRとは?
EDRとは、PC・スマホなど「エンドポイント」の操作や動作を監視して、脅威の検出や対処を行うセキュリティシステムです。EDRの名前は「Endpoint Detection and Response」の頭文字を取っています。
EDRの特徴は端末がサイバー攻撃を受けることを前提として、疑わしい挙動から脅威の検知を図る点です。EDRが脅威を検知した場合には「サイバー攻撃」と疑われる通信・プロセスを遮断するとともに、動作痕跡を記録します。
2.EDRが注目される背景
EDRは、従来型の製品とは異なる視点のアプローチでセキュリティ課題の解決を図れる選択肢として、注目を集めています。そのEDRが注目されるようになった背景にある事象は主に、以下3つです。
2-1.サイバー攻撃の多様化・高度化
近年ではサイバー攻撃の手口が多様化かつ高度化している状況です。また、サイバー攻撃による被害は後をたたず、2022年の不正アクセス認知件数は2,200件にものぼります。
出典:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開
発の状況」
サイバー攻撃を受けた場合には情報漏えいなど、会社の信用低下につながる被害が発生しかねません。近年では奪取した機密情報を人質として、多額の身代金を要求する手口もあります。
しかし、従来型のセキュリティ対策製品で被害を完璧に防止することは困難です。そのため、サイバー攻撃の脅威に対応するための手段として、EDRが注目されはじめました。
2-2.モバイル端末など感染経路の増加
近年では働き方改革の影響も受けて、モバイル端末のビジネス利用を進める会社が増加しています。過去には安全面への配慮から推奨されにくかった「BYOD(私物のスマホ、タブレットを業務に活用する選択肢)」を会社として認めることも、現在では珍しくありません。
しかし、私物を含めたスマホやタブレットのビジネス利用が一般化すると、モバイル端末を経由したサイバー攻撃の被害事例も増加する可能性があります。被害を防止するためにはEDRなど、感染経路や進入経路の多様化に対応したセキュリティ対策の検討が必要です。
2-3.リモートワークの普及
新型コロナウイルス感染症拡大防止対策としてリモートワークが急速に普及した結果、個人端末を仕事に利用する事例が増加しました。また、リモートワークで仕事を進める際には、社外のネットワークも利用します。時代の変化に応じた方法で安全に働ける環境を整備するためには、従来型のセキュリティ対策のみでは不十分です。
EDRは個人端末にも導入できることから、時代の変化に応じた働き方に対応するセキュリティ対策としての役割が注目されます。従来型のセキュリティ対策とEDRを組み合わせればリモートワークの安全面を強化でき、時代の変化に応じた働き方を行う従業員の不安軽減を図れるでしょう。
3.EDRの仕組み
端末にインストールするタイプのEDRでは対策の対象とするエンドポイントに「EDRセンサー」と呼ばれるモジュールを導入し、常時ログを収集して、監視します。収集されたログは管理サーバーへと送信され、データとして蓄積される仕組みです。
監視中に異常信号や疑わしい挙動が検出された場合には、管理者へと通知されます。通知を受けた管理者は蓄積されたデータも活用しつつ脅威の分析を行って適切な対応を検討し、行動に移すことで、被害の拡大を防止できます。
4.EDRの機能・効果
EDRには主に、エンドポイントの監視と脅威の検知などの機能があります。インシデントが発生した場合には解決までの期間、自動で一定の対応を取ることも、EDRの特徴的な機能です。
以下ではEDRの機能や期待される効果を、より詳しく紹介します。
4-1.監視・検知
EDRにはエンドポイントに導入したモジュールによって各種ログを収集して、監視を行う機能があります。以下は、EDRが監視目的で収集する各種ログの一例です。
EDRが監視目的で収集する各種ログの例
- ネットワークの接続ログ
- ファイル操作ログ
- レジストリの変更ログ
上記をはじめとする各種ログは管理サーバーに集約された上で、サイバー攻撃の兆候検知に活用されます。また、EDRでは特定組織を狙う「標的型攻撃」の兆候も検知することが可能です。
4-2.分析
EDRが脅威を検知すると管理サーバーに収集したデータをもとに、侵入経路や被害状況を分析します。分析結果は見やすい形に編集された上で管理者に通知されるため、スムーズな状況把握が可能です。
EDRが脅威に関する分析を行う際には、サイバー攻撃に関する最新の情報が反映されているベンダーのシステムも参照します。そのため、管理者は、最新の手口による脅威も考慮された分析結果をもとにして、適切な対処法の検討が可能です。
4-3.インシデント対応
EDRが脅威を検知した場合には分析を進めるのみではなく、以下のインシデント対応を行います。
EDRのインシデント対応の例
- ネットワークを一時的に切断する
- 被害を受けたアプリケーションを遮断する
- 疑わしい挙動が見られたツールを自動停止する
EDRによって早急なインシデント対応を行えば、被害が拡大することで生じる業務の混乱を回避できます。また、サイバー攻撃の被害が拡大すれば多くの場合、より重大な損失を避けられません。EDRで被害の拡大を防止できると損失を最小限に抑えて、事後対応にかかるコストの削減を図れるでしょう。
4-4.予防
EDRが収集するデータは、サイバー被害の予防対策にも活用されます。EDRには端末にインストールされているアプリケーションの状態を監視し、脆弱性対策を行う機能があるためです。たとえば、古いバージョンのアプリケーションが使用されている場合には必要に応じてアップデートを行い、最新の状態に維持してくれます。
アプリケーションのアップデートを怠ると脆弱性を悪用したサイバー攻撃を受けるリスクが高まることから、常に最新の状態を維持することは大切です。EDRを導入すればアップデートが従業員任せにならないため、セキュリティ対策の強化を図れます。
5.EDRとEPPの違い
EDRとEPPはいずれも、スマホやPCなどの端末をサイバー攻撃から保護するためのセキュリティシステムです。ただし、EPPはウイルスやマルウェアの侵入を防止する水際対策に重点を置くシステムにあたり、EDRとはコンセプトが異なります。
EPPは悪意のある活動を起こさせずにマルウェアなどを駆除することが前提のシステムであるからこそ、被害の検知や事後対応などの機能を持ちません。復旧措置を支援する機能も含まれないため、狙い通りの効果を発揮しなかった場合、影響範囲が拡大する可能性もあります。
5-1.EPPの種類
EPPには、AV(アンチウイルスソフト)・NGAV(Next Generation Anti-Virus)などの種類があります。
AV
AVとは一般家庭のPCのセキュリティ対策でも活用される、ウイルス対策ソフトの総称です。多くのAVはパターンマッチング方式(マルウェア感染した場合に見られる兆候を事前定義し、収拾した情報と照合して、異変を探す方式)により、脅威の検知を図ります。また、AVでは検知したマルウェアの駆除も行うことが可能です。
NGAV
NGAVとは、AVの後続にあたる次世代型のシステムです。NGAVは振る舞い検知やAI技術を活用してマルウェア特有の挙動と似た動きをとらえ、検知と駆除を図ります。
振る舞い検知とは、悪意のあるプログラムの特徴をもとに疑わしい挙動を探し、早期の検知を図る手法です。AVには未知のマルウェアに対応できない弱点があったため、NGAVでは振る舞い検知も活用することで、対応範囲が拡大されています。
しかし、未知のマルウェアは巧妙な手口でエンドポイントへの侵入を図るケースも多く、NGAVをもってしても多くの場合、完璧なリスク回避は不可能です。EPPをすり抜けたマルウェアを放置すれば特定の端末内で起こった被害が企業ネットワーク全体に拡大し、大きな損失につながる恐れがあります。
これらの理由から、エンドポイントに対してより強力なセキュリティ対策を行いたい場合には、EDRとEPPの併用を検討しましょう。EPPで防御しきれずにマルウェアなどが侵入してもEDRで迅速な対応を取れば、会社に対する被害の最小化を図れます。
6.EDRを選ぶ際に注目すべきポイント
EDR製品にはさまざまな種類があるため、「どれを選択すべきか」で迷うセキュリティ担当者もいるでしょう。EDR製品を比較検討する際に注目すべき6つのポイントを把握し、特徴を正しく理解した上で自社に合うものを選択するためのノウハウを身につけてください。
6-1.検知方法
EDRの検知方法は、エージェント型とエージェントレス型に分類できます。EDRを導入する際にはいずれが望ましいかを考えた上で、比較検討する際の判断基準に加えてください。
エージェント型とは端末などにインストールして導入するタイプ、エージェントレス型とはインストール不要で導入できるタイプにあたります。エージェント型では対象とする端末ごとにインストールする手間がかかるものの、収集した情報をクラウド上で一括管理することが可能です。エージェントレス型は導入作業の工数を削減できる反面、エージェント型と比較して通常、収拾できる情報量が限定されます。
6-2.コスト
EDR製品を導入すると運用コストがかかるため、事前に見積もりを取り、予算の範囲で継続できるものを選択しましょう。EDRの運用コストは、契約端末の台数や利用する機能に応じて変化します。ベンダーに見積もりを依頼する際には上記を明確に伝えると、運用コストの正確な把握が可能です。
また、EDRを導入する際には導入コストも必要です。導入コストの相場は提供形態などに応じて変化するため異なるタイプのEDRを単純比較することは避けつつ、コストパフォーマンスの良いベンダーを選択しましょう。
6-3.サポート体制
EDRの運用には専門的な知識やノウハウが必要です。EDRに精通した人材が会社内にいない場合は、サポート体制が充実しているベンダーを選択しましょう。
また、自社に適した支援を受けるためには、サポート内容の詳細を事前に確認することが必要です。たとえば、EDR製品を提供するベンダーの中には専門家チームがセキュリティ環境を監視して脅威を検知してくれる、手厚い支援を提供する会社もあります。中には被害が発生した場合の対応方針決定や代行までをサポートする会社もあるため、詳細を聞き、自社に適したパートナーを探してください。
6-4.提供形態
EDRの提供形態は、クラウド型とオンプレミス型に分類できます。それぞれの特徴は、以下の通りです。
クラウド型
- インターネット上でサービスを提供するタイプ
- 導入や運用が比較的低コスト
- クローズド環境で利用する端末の監視は不可能
オンプレミス型
- 社内インフラ上にシステムを構築するタイプ
- (社内規定の関係で)クラウド型を導入できない会社も検討可能
- リモートワーク端末の監視は不可能
トレンドとしては上記のうち、クラウド型が主流ですが、オンプレミス型にもメリットはあるため、自社に合う提供形態を選択しましょう。
6-5.他のツールとの連携
EDRで検知した脅威に対する事後対応は原則、他のツールもしくはセキュリティ担当者の手作業で行う必要があります。事後対応に他のツールを活用する場合にはEDRの導入前に、連携可否を確認しましょう。
また、EDRの中には既存のツールやシステムから情報を取り込み、データの分析に活用するものもあります。既存のツールとの相性が悪いと連携前提のソリューションを提供するEDRは有効に機能しにくいため、注意しましょう。
6-6.導入のしやすさ
近年ではビジネスを取り巻く環境が複雑化しており、さまざまなOSやミドルウェアを活用している会社も多くあります。EDRを比較する際には「どのような端末環境で利用できるか」を確認し、導入しやすいシステムを選択しましょう。自社で特殊なOSを使用している会社では特に、事前の確認が不可欠です。
7.EDRを導入・運用する際の注意点
EDRをスムーズに導入して安全に運用するためには、いくつかの注意点を把握しておく必要があります。EDRを有効活用してセキュリティ対策を強化するために把握すべき代表的な注意点は、以下4つです。
7-1.侵入・攻撃そのものは防げない
EDR製品を導入する際の狙いは主に、サイバー攻撃を受けた後にスムーズな対応を取り、被害拡大を防止することです。そのため、EDR製品のみを導入しても、マルウェアの侵入・攻撃そのものは防げません。侵入・攻撃そのものを防ぎたい場合は、EPPとの併用による総合的な対策を検討しましょう。
一部のベンダーでは、EPPとEDRを組み合わせたエンドポイントセキュリティソリューションも提供します。自社の既存の体制も考慮した上で必要があれば、総合的なソリューションの導入も検討しましょう。
7-2.環境に負担がかかる
EDRのデータ収集では多少なりとも、既存の業務環境に負担をかけるリスクがあります。特に端末のCPUやメモリは、EDRによって過剰な負担がかかりやすい部分です。EDR製品の導入前に考えられる負担を適切に見積もり、許容範囲であることを確認すれば、悪影響を回避できます。
また、EDRがエンドポイントから収集する膨大なログは自社のネットワークに、過剰な負担をかけかねません。負担を見積もる際には、自社のネットワークに悪影響が及ばないことも確認しましょう。
7-3.知識・スキルを持つ人材が必要となる
EDR製品を導入した会社の一部では、「頻繁に届く通知に対して適切な対処が取れない」などの理由で、効果的な運用を行えていません。EDRによる脅威の通知の頻度や件数は検出ルールを調整すれば、減らせるケースも多くあります。ただし、検出ルールの調整には、EDRに関する十分な知識やスキルが必要です。適任者が社内にいない場合は、EDRを効果的に活用できない可能性があります。
適任者がいない状態でもEDRを導入し、効果的に運用するためには、アウトソーシングを活用する方法が選択肢の1つです。もしくは、サポート体制が充実しており、運用中に感じる問題点の解決を後押ししてくれるベンダーを選択しましょう。
7-4.他のツールとの併用が推奨される
EDR製品は、他のセキュリティツールと組み合わせて導入・運用することが推奨されます。すでにEPP製品を活用している会社の場合は既存の体制を維持しつつ、EDR製品によってセキュリティ対策を補完する選択肢を考えましょう。
ただし、既存のツールとEDRを併用する場合には、連携可否の確認が必要です。 既存のツールとEDRをつなぎ目なく連携させられると効果的に、セキュリティ対策を強化できます。
また、EDRと併用できるセキュリティツールは、EPPのみではありません。たとえば、システム環境全体を監視できる「SIEM」と併用する方法もあります。EDRを導入する際には「何と併用するか」を事前によく考えましょう。
まとめ
EDRの機能には、ログの監視・検知や分析のほか、インシデントが起きた際の対応や、予防が含まれます。一方で、EDRは侵入した脅威への対処を得意とするものの、侵入を防止する働きはありません。端末を保護するためには、EPPを併用することが望ましいでしょう。
EDRを選ぶ際は、検知方法やコスト、サポート体制などを加味しながらベンダーを選ぶ必要があります。また、運用する際は、環境への負荷や人材確保などにも配慮しましょう。
関連リンク
Eliminating SOC fatigue in today’s distributed, hybrid workplace
見逃し配信:過去のウェビナーをオンデマンドで公開しています
