サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

EDRとは?エンドポイントセキュリティ対策製品の比較まで



これまでのセキュリティ対策ソフトウェアというと、「ウイルスに感染しないようにすること」が目的でした。しかし、ゼロデイ攻撃やさまざまなウイルス亜種など、近年は脅威を防ぎきれないケースも少なくありません。

そこで登場するのが「EDR」です。EDRは、さまざまな脅威に感染した際に迅速に対応するためのものです。今回はこのEDRについて学びましょう。

EDR(Endpoint Detection and Response)とは

EDRとは、PCやサーバーなどの端末(エンドポイント)を監視し、不審な挙動を検知するとリアルタイムに通知する製品・サービスの総称です。EDRは、サイバー攻撃の阻止ではなく、不正な内部侵入を受けた後の迅速な対処を目的としています。巧妙化するサイバー攻撃を完全に防ぐことは難しいため、サイバー攻撃に遭った後の被害を最小限に抑えるべく設計されました。

EDRの機能一覧

EDRには、主に5つの機能があります。以下の表にまとめましたのでご覧ください。

機能 詳細
監視 ネットワークに接続している端末(エンドポイント)の操作や動作を常に監視する。
ログ 監視している端末の挙動を全て記録に残す。
検知 ログの情報をもとに、不審な挙動を検知する。平時のログと比べ、脅威の影響度などを図る。
隔離 不審な挙動の実行を阻止し、端末をネットワークから隔離する。端末の通信を制限し、他の端末やネットワークへの被害拡大を防ぐ。
修復 脅威が検出された端末内の不審なファイルの削除や、レジストリの修復などを実行する。

以上5つの機能により、サイバー攻撃やマルウェア感染後のスピーディな対応を可能にします。EDRを導入すれば、既存のセキュリティ製品でカバーしきれない「被害の最小化」を実現できるでしょう。

従来のセキュリティ製品との違いは?

大手のセキュリティベンダーから、さまざまなセキュリティ対策製品が販売されています。これら従来のセキュリティ製品とEDRとはどう違うのでしょうか。

従来のセキュリティ製品とEDRとの大きな違いは、その目的です。

  • 従来のセキュリティ製品の目的
    マルウェアなどの脅威に感染しないこと。感染から防御すること。
  • EDRの目的
    感染したことを迅速に検知し、素早い対応につなげること。

つまり、従来のセキュリティ製品でマルウェアなどの脅威に感染しないようにしっかりと防御するということを行った上で、万が一感染した場合の迅速な対応はEDRにおまかせといったところでしょうか。

EDRの必要性

先の章ではEDRの目的が、従来のセキュリティ製品とは異なり、感染した後の迅速な対応にあると説明しました。これに対して、説明したとおり従来のセキュリティ対策ソフトでは、マルウェア等の脅威に感染しないようにすることを目的としています。

したがって、脅威に対する対応を段階別に分けるとすれば、従来のセキュリティ対策ソフトウェアとEDRは、以下のように役割分担が出来ます。

段階 対策 目的
感染する前 従来のセキュリティ対策ソフトウェア 感染の防止
感染した後 EDR 除去等の迅速な対策

このように、EDRは従来のセキュリティ対策ソフトウェアとは異なり、感染した後に「迅速に除去し、被害の拡大を防ぐ」などの目的を持っています。

セキュリティ事故は、迅速に対応することで被害の拡大を最小限にすることが出来るなど、初動の適切な対応が不可欠ですが、EDRはこれを支援してくれるものとして「防止と対応」という観点から、従来のソフトと併せて重要なものと言うことが出来ます。

EDRは自社で運用できる?

ここまでで従来のセキュリティ対策ソフトウェアに加えて、EDRを使うことが効果的であることがよくお分かり頂けたのではないでしょうか。

しかし、EDRを経験したことのある企業はまだそれほど多くはありません。

  • どういった運用が必要になるのか?
  • コストはどれくらいになるのか?

これでは運用に二の足を踏むのも不思議ではありません。果たして自社でEDRを運用できるものなのでしょうか。

ここで使えるのが、大手のセキュリティベンダーが提供しているEDR製品です。これらを使うことで比較的手軽にEDRによるセキュリティ対策を行なうことが出来ます。導入や管理が容易なクラウド型のEDRもあります。さらには、従来のセキュリティ対策ソフトウェアの機能とEDRの機能を併せ持つような次世代型のソフトウェアであるCarbon Black社の「Cb Defense」のような例もあります。

このようにEDRは何も自社で導入、運用、セキュリティ事故発生時の対応などすべて専門的な技術者のもとでやる必要があるわけではありません。製品として導入したり、クラウドを利用したりするなど手軽に使える方法もあります。

EDRとEPP・NGAV・DLPの違いとは

エンドポイントセキュリティを高め、脅威に内部侵入された後の対応に着目して設計された「EDR」。実は、エンドポイント対策をおこなうセキュリティソリューションはEDRだけではありません。ここでは、以下3つのソリューションに絞り、特徴を解説します。

  1. EPPとは
  2. NGAVとは
  3. NGAVとは

順番に見てきましょう。

1.EPPとは

EPP(Endpoint Protection Platform)とは、マルウェア感染の未然防止に特化した製品全般を指します。EPP製品の中で個人にも広く普及しているのが、アンチウイルスソフトウェア(ウイルス対策ソフトウェア)です。不正侵入した脅威の検知・排除をおこないます。

EPPとEDRの最大の違いは、目的です。EPPの目的は「マルウェア感染の阻止」ですが、EDRは「マルウェア感染後の迅速な対応」を目的としています。EDRは「サイバー攻撃やマルウェアの侵入を完全に防ぐことは不可能」と割り切り、侵入後の被害を抑えるために開発されました。

このように、EPPはマルウェア感染前、EDRはマルウェア感染後の対応を重視しています。

目的が異なるため、エンドポイントセキュリティを高めたい場合は、両者の併用が望ましいでしょう。

2.NGAVとは

NGAV(Next Generation Anti-Virus)とは、「次世代アンチウイルス」を意味するソフトウェアです。名前の通り、従来のアンチウイルス対策製品「EPP」の後継製品と言えます。

NGAVとEPPの違いは、マルウェアの検知技術です。EPPは、データベースに登録されたマルウェアと、新たなファイルを照合する「パターンマッチング」を用います。既知のマルウェアの検出は可能ですが、データベース未登録の新種のマルウェアには対応できません。

そこで、NGAVには「振る舞い検知」や「機械学習」といった新たな技術が採用されました。これらの技術は、プログラムの動作をもとにマルウェアであるか判断し、不審な挙動があれば検知・排除します。データベースに頼らず、プログラムの動作から判断できるため、新種のマルウェアにも対応できるわけです。

3.DLPとは

DLP(​​Data Loss Prevention)とは、情報漏洩防止に特化したシステム全般を指します。従来の情報漏洩対策はユーザーを監視するのに対し、DLPは特定の機密情報のみを監視します。

まず、従来の情報漏洩対策といえば、IDとパスワードによるユーザー認証が主流です。こうしたユーザー監視型の対策は、悪意ある第三者に対しては効果を発揮します。ですが、「正規のIDとパスワードを知る社員の内部不正」や「操作ミスによる情報漏えい」の防止はできません。

そのため、近年台頭してきたのがデータ監視型のDLPです。DLPは、特定の機密情報に対するアクセスや操作を監視します。ポリシー違反の動作があれば警告・操作キャンセルをおこなうので、ユーザー認証に依存しない情報保護が可能です。具体的には、機密ファイルを送信しそうになったり、勝手にコピーしようとしたりしても、DLPが動作を阻止します。

以上、3つのエンドポイントセキュリティ製品を紹介しました。エンドポイントセキュリティ対策製品は、それぞれ役割や特徴が異なります。EDRを含め、導入を検討する際は、自社のニーズに合う製品を選びましょう。

エンドポイントセキュリティ対策製品の比較表

続いて、エンドポイントセキュリティ対策製品の特徴を表にまとめましたので、比較する際にぜひ役立てください。

EDR EPP NGAV DLP
役割 端末(エンドポイント)の挙動を監視し、マルウェア侵入後の迅速な処理を支援する。 データベースをもとにした、マルウェアの侵入を防止する。 振る舞い検知や機械学習による、マルウェアの侵入を防止する。 特定の機密情報の監視に特化し、情報漏洩を防ぐ。
メリット サイバー攻撃やマルウェア感染による被害を最小限に抑えられる。 既知のマルウェアを確実に検知できる。 新種のマルウェアも検知し、対応範囲が広い。 ユーザーの行動に依存せず、機密情報を堅牢に守れる。
注意点 マルウェアの侵入前の水際対策が目的ではない。 データベース未登録のマルウェアに対応できない。 検知をすり抜けたマルウェの対処はできない。 機密情報の定義、セキュリティポリシーの策定などが必要。
導入ニーズ 新種のマルウェア対策に加え、マルウェア侵入後の対策も施したい。 ※旧来型のシステムであるため、新たな導入には適していない。 従来のEPPから新種のマルウェアにも対応できる製品に変更したい。 悪意ある第三者だけでなく、内部不正や操作ミスによる情報漏洩も防ぎたい。

エンドポイントセキュリティ製品を導入する際は、上記の表を参考にしてみてください。

まとめ

EDRは、従来のセキュリティ対策ソフトウェアがマルウェアなどの脅威に対して感染防止のための役割を果たしているのに対して、「感染した後の迅速な対応」を行なうためのものです。

近年は、マルウェア感染や、それに伴う情報漏えいなど、さまざまなセキュリティ事故が頻発しています。万が一、対応に失敗すると企業にとっては、信用の低下というだけでなく、賠償金の支払いなど企業の存続に関わるようなケースになることもあります。こういったことにならないように、セキュリティ事故では被害の拡大を防ぐために初動の迅速な対応が欠かせません。

そこで、「従来のセキュリティ対策ソフトウェア」と「EDR」をうまく併用することで、これまで以上のセキュリティ対策を行っていくことが重要となります。

EDRに関するよくある質問

最後に、EDRに関するよくある質問2つにお答えします。

  1. EPP/NGAVがあれば、EDRはいらない?
  2. おすすめのEDR製品は?

順番に回答します。

Q1.すでにEPP/NGAVがあれば、EDRはいらない?

A.EPP/NGAVとEDRは役割が異なるため、併用がおすすめです。

EPP/NGAVはマルウェアの侵入防止を、EDRはマルウェア侵入後の対処を重視しています。併用すれば、マルウェア侵入の前後どちらにも対応できるため、より堅牢なセキュリティを構築できるでしょう。

Q2.おすすめのEDR製品は?

A.こちらからおすすめのEDR製品をご覧ください。

EDR製品の一覧を掲載しており、効率良く製品を比較できます。また、資料請求も一括でおこなえますので、ぜひご活用ください。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。