EDRとNDRそれぞれの役割とは?どちらも導入しなくて良い?|サイバーセキュリティ.com

EDRとNDRそれぞれの役割とは?どちらも導入しなくて良い?



2010年頃から企業を狙ったサイバー犯罪が増加しており、世界中で甚大な被害が確認されています。「我が社はセキュリティソフトを導入しているし、被害に遭わないだろう」と慢心してはいけません。

攻撃の手口はますます高度化し、従来のセキュリティソフトでは防ぎきれないケースも増加しています。

このような状況下で、マルウェアの可視化・検出に優れる「EDRNDR」が注目を集めるようになりました。

今回はEDRとNDRの違いと特徴、必要性、EDRとNDR以外にも合わせて導入した方がよいセキュリティソフトについて解説します。

新たなセキュリティ対策ソリューションを導入したい企業の皆さまは、ぜひ最後までご覧ください。

EDRとNDRの違い

EDRとNDRの違いについて、以下の表をご覧ください。

比較項目 EDR NDR
目的 侵入してきたサイバー攻撃の検出と対処 侵入してきたサイバー攻撃の検出と対処
必要な設備 エンドポイントを継続的に監視するためのセキュリティチーム 社内通信収集のための専用機器
分析対象 エンドポイント内の挙動 社内ネットワークのトラフィック
可視化の対象 複数のエンドポイント間の通信の挙動 特定のエンドポイント内の挙動
攻撃された端末の復旧 復旧支援の機能を提供 復旧不可能

EDRとは

EDR(Endpoint Detection and Response)とは、エンドポイントを常時監視して、侵入してきた脅威を検出するソリューションです。エンドポイントは、ネットワークに接続されるコンピュータやモバイル端末などの機器を指します。

EDRはエンドポイントでの不審な挙動を検出して、セキュリティチームに通知し、適切な対応を行います。

クラウド上でログ収集して一元管理できるため、セキュリティチームはリモートでも対応可能です。

NDRとは

NDR(Network Detection and Response)とは、エンドポイントのトラフィックを収集し、分析するソリューションです。NDRを導入すれば、社内ネットワークを包括的に可視化できるようになるため迅速にサイバー攻撃を検出できます。

EDRとNDRの必要性が高まっている理由

EDRとNDRの必要性が高まっている理由は、マルウェアの多様化や手口の高度化が進み、ファイアウォール等の従来型ソリューションではすべてのマルウェアを防ぐのは困難だからです。

EDRはエンドポイント側のマルウェアの侵入を防ぎ、NDRはネットワーク側からの侵入を防ぎます。EDRを導入すると、マルウェア感染による情報の窃取や漏洩、改ざんなどの被害を最小限に抑えられます。より幅広い検知・インシデントレスポンスを実現するためには、NDRの導入も検討しなければなりません。

EDRとNDRを導入すれば、広い守備範囲を常に監視し、マルウェアが侵入してきた際には速やかにネットワークを遮断して排除を行います。

EDRとNDRは組み合わせて導入する必要がある

EDRとNDRは、組み合わせて導入する必要があります。

EDRは、エンドポイントを監視して侵入してきたマルウェアを検出するセキュリティ製品です。一方でNDRはネットワークの監視を行い、侵入してきたマルウェアを見つけ出すセキュリティ製品です。

一見、NDRのみで十分なエンドポイントセキュリティの対策が可能に思えますが、「NDRのみ導入すれば、EDRは不要である」といった考えは間違っています。NDRでネットワーク側からのマルウェアの侵入を見つけ、そこから深く調査するにはEDRが必要になるからです。

EDRとNDRの互いの優れているところを活かせれば、より強固なサイバー攻撃対策の効果が発揮できるようになるでしょう。

EDRとNDR以外に導入した方がよいセキュリティソフト

EDRとNDR以外に、導入を検討した方がよいセキュリティソフトについて、以下の3つを紹介します。

  • NetWitness Orchestrator
  • WebALARM
  • CyCraft AIR

それぞれのセキュリティソフトの特徴を解説します。

NetWitness Orchestrator

NetWitness Orchestrator」は、既存のセキュリティ製品を連携して、定型業務を自動化し、効率的なセキュリティ運用を実現するセキュリティソフトです。

また、脅威情報の管理に優れている「TIPThreat Intelligence Platform)」の機能が統合されています。あらゆる脅威情報を収集して分析し、得られた結果がTIPによりユーザーにわかりやすい形式で提供されます。

そのため、セキュリティ人材の状況把握や正確な意思決定も可能です。

WebALARM

WebALARM」は、暗号化アルゴリズムを利用した「コンテンツの監視」およびバックアップからの「自動リカバリ」機能を装備するシステムです。Webサイトをリアルタイムで常に監視し、1bit単位の改ざんであっても速やかに検出します。改ざんが見つかった際には、バックアップを利用して瞬時に元の状態へと復旧します。

直観的な操作が可能で、セキュリティ知識が十分ではない方でも容易に利用できるのも、WebALARMの魅力です。

CyCraft AIR

CyCraft AIR」は、複数のエンドポイントを同時に検査し、脅威を検知できたら根本原因を調査して、迅速な対応を実現するセキュリティソフトです。

「Xensorエージェントレス・モード」でエンドポイントを日毎にスキャンし、また「エージェント・モード」では、エンドポイント上の不審な挙動を常に監視します。

ほかにも、以下の2点の特徴が挙げられます。

  • 単体でのソリューションで、監視から検出、調査、対処までの工程を行える
  • AIアナリストとセキュリティエキスパートチームが組み合わさり、常に最新のセキュリティ分析が提供される

上記の特徴が評価され、CyCraft AIRはIT業界で高い評価を受けているセキュリティソフトです。

よくある質問

最後に、EDRに関するよくある質問を2つ紹介します。

  • EDRのおすすめ製品を教えてください
  • エンドポイントセキュリティを導入する際の注意点を教えてください

それぞれの質問に対して、1つずつ回答していきます。

Q1. EDRのおすすめ製品を教えてください

株式会社キャスティングロードが提供している「EDR+SOCサービス」が、おすすめです。EDRとSOCサービスとの組み合わせにより、インシデント検知から分析・監視・インシデント対応まで一貫したセキュリティ対策を提供します。

特にSOCのサービスが魅力的です。セキュリティトラブルの専門部隊である「SOC」は、EDRが検出したアラートを常に監視し、セキュリティリスクを最小限に抑えます。

また8年間一度も破られていない製品で、高い実績があります。

下記記事では他にもEDRの製品を詳しく紹介していますので、ぜひご覧ください。

参照EDR製品おすすめ15選!選び方のポイントまで

Q2. エンドポイントセキュリティを導入する際の注意点を教えてください。

エンドポイントセキュリティを導入する際には、「コスト面・高度な専門人材・ほかのソリューションとの併用」の3つに注意してください。

導入時には、エンドポイントの台数に比例して大きなコストが発生します。そのため、事前に費用対効果が見合っているのかを検討し、導入しましょう。

また適切に運用するためには、十分な専門知識と技術を持った担当者が必要です。

エンドポイントセキュリティ単体では、未然にマルウェアの侵入を防ぐのは困難です。そのため、侵入前の対策に特化した「EPP」等のソリューションと併用しましょう。

まとめ

エンドポイント対策のEDRとネットワーク対策のNDRを組み合わせて導入した際には、広い範囲でサイバー攻撃の侵入を検出し、速やかな対処が実現できます。

導入する際には、コスト面・高度な人材・ほかのソリューションとのバランスの3つに気を配りながら、最適なセキュリティ製品を選択しましょう。


SNSでもご購読できます。