これまでのセキュリティ対策ソフトウェアというと、「ウイルスに感染しないようにすること」が目的でした。しかし、ゼロデイ攻撃やさまざまなウイルス亜種など、近年は脅威を防ぎきれないケースも少なくありません。
そこで登場するのが「EDR」です。EDRは、さまざまな脅威に感染した際に迅速に対応するためのものです。今回はこのEDRについて学びましょう。
EDR(Endpoint Detection and Response)とは
EDRとは、PCやサーバーなどの端末(エンドポイント)を監視し、不審な挙動を検知するとリアルタイムに通知する製品・サービスの総称です。EDRは、サイバー攻撃の阻止ではなく、不正な内部侵入を受けた後の迅速な対処を目的としています。巧妙化するサイバー攻撃を完全に防ぐことは難しいため、サイバー攻撃に遭った後の被害を最小限に抑えるべく設計されました。
EDRと従来のセキュリティ製品は「目的」がちがう!
大手のセキュリティベンダーから、さまざまなセキュリティ対策製品が販売されています。これら従来のセキュリティ製品とEDRとはどう違うのでしょうか。
従来のセキュリティ製品とEDRとの大きな違いは、その目的です。
・従来のセキュリティ製品の目的
マルウェアなどの脅威に感染しないこと。感染から防御すること。
・EDRの目的
感染したことを迅速に検知し、素早い対応につなげること。
つまり、従来のセキュリティ製品でマルウェアなどの脅威に感染しないようにしっかりと防御するということを行ったうえで、万が一感染した場合の迅速な対応はEDRにおまかせといったところでしょうか。
EDRの仕組みと機能
それでは、EDRは、どのようにしてマルウェア感染に対処するのでしょうか。
ここでは、EDRが感染したマルウェアの被害を最小限に抑えるための仕組みと、基本的な機能について、ご紹介します。ゼロトラスト型セキュリティの実現に欠かせないEDRの特徴を、押さえておきましょう。
EDRの仕組み
EDRの仕組みをわかりやすく説明すると、端末内部をリアルタイムで見張り、いつもと違う不審な動きを見つけ次第、隔離・対処するというものです。
もう少し詳しくEDRの仕組みを見てみましょう。
| EDRの仕組み | |
|---|---|
| 【ステップ①】
見張る |
・導入された端末(エンドポイント)のログを、リアルタイムで監視し自動的に解析する |
| 【ステップ②】
不審な動きを発見 |
・通常のログや脅威インテリジェンス、ビッグデータ、AIなどを活用し、異常を見つけ出す |
| 【ステップ③】
隔離・対処 |
・異常が見つかったら、自動的にネットワークから切断する
・侵入経路や感染範囲の特定作業なども行う |
上記のような3ステップで、EDRはマルウェア感染を早期発見・対応し、被害の発生拡大を抑えています。
EDRの機能
具体的なEDRの機能としては、次の5つが代表的です。
| EDRの代表的な機能5つ | |
|---|---|
| 監視 |
|
| ログ |
|
| 検知 |
|
| 隔離 |
|
| 修復 |
|
EDRの最大の効果「感染後の対策が可能」
EDRを導入することで得られるもっとも大きな効果は、従来のセキュリティソフトでは対応が難しかったマルウェア感染後の対策が取れるようになることです。
感染を防ぐタイプのセキュリティソフトは、既知の攻撃は防げますが、最新のものは防ぎきれないという弱点があります。また、いくらセキュリティ対策をしていても、ユーザーがうっかりマルウェアの添付されたメールを開封すれば、感染の危険性はあるでしょう。
こういった、弱点をカバーできることが、EDRの大きなメリットなのです。
企業におけるEDRの必要性
テレワークの普及やデジタル化の進展など企業を取り巻く環境の変化に伴い、EDRの必要性がとても大きくなっています。
これまでは、重要なデータは社内で厳重に保管していればそれで足りましたが、環境の変化に伴い、重要なデータがさまざまな場所に分散するようになったからです。
テレワークを導入すれば、社外でも業務に関係するデータを取り扱う必要が出てくるので、外部からのアクセスを可能にする必要があるでしょう。また、クラウド化をすれば、そもそもデータのメインの保存場所が社外になります。
こうなると、単にマルウェアや不正アクセスをシャットアウトするだけでは、企業にとって重要なデータやシステムを守り切れないのです。そのため、攻撃を受けることを前提とした対策を併用することが欠かせません。
セキュリティ事故は、迅速に対応することで被害の拡大を最小限にすることができるなど、初動の適切な対応が不可欠です。これを支援するツールとして、EDRを併用することが、企業を守るうえで必要と言えるでしょう。
EDR製品の選び方ポイント4つ
EDR製品には、さまざまな機能や種類があります。効果的にセキュリティ対策のバージョンアップをするためには、次のポイントを押さえて選びましょう。
| EDR製品の選び方のポイント4つ |
|---|
| ①未知のマルウェアや最新の脅威を検知できるか
②調査する機能が備わっているか ③導入・展開が簡単にできるか ④高度な分析処理を備えているか |
それぞれ、どのような点に着目すべきか、もう少し詳しく見てみましょう。
未知のマルウェアや最新の脅威を検知できるか
EDR製品を選ぶときは、未知の攻撃や最新の脅威にも対応できるかどうかをチェックしましょう。
どの程度のマルウェアや脅威を検知できるかは、EDR製品によって異なるからです。被害の拡大を防ぐ効果を高めるためにも、検知能力の高い製品を選びましょう。
調査する機能が備わっているか
マルウェアの感染経路や攻撃の影響範囲などを調査する機能が備わっているEDR製品を選ぶことをおすすめします。
マルウェア感染や不正アクセスなどの攻撃を受けた際に重要なのが、速やかな原因・影響の究明だからです。事後の対応が早ければ早いほど、打撃も少なくなるので、調査をサポートできるEDR製品を選んでおきましょう。
導入・展開が簡単にできるか
EDR製品を検討する際は、導入や運用時にどのような作業が発生するのか確認し、簡単に使えるものを選びましょう。
特に運用時に複雑な知識や専門の人員が必要となると、現体制では管理が難しくなったり、負担が大きくなったりするリスクがあるからです。
攻撃を検知したときに迅速に対応できるようにするためにも、運用が簡単でサポート体制が整っている製品を選びましょう。
高度な分析処理を備えているか
EDRは、ログなどのデータを分析し異常を発見することで必要な対処が可能になるので、分析能力が高い製品を選ぶことがポイントです。
高度な分析処理を備えた製品であれば、些細な異常も見逃さず、速やかに検知することができるようになります。被害を最小限に抑えるには、早期発見が欠かせないため、分析処理の能力の高さが重要なのです。
EDR導入の注意点3つ
EDRを導入し、効果的に運用するには、注意すべき点が3つあります。
◆EDR導入の注意点
|
EDR製品は、対応するOSが異なったり、すでに導入されているセキュリティ対策ツールと相性が悪かったりすると、効果的に運用できない場合があります。導入環境をきちんと確認し、問題なく動作するか確かめておく必要があるでしょう。
また、EDRは、参照できるログが多いほど異常を発見しやすくなります。EDRで、社内のログを確実に分析できるよう整えておきましょう。
なお、EDR単体でセキュリティ対策が完結するわけではないので、アンチウイルスなど他のセキュリティソフトと連携させることを前提に導入することも、大切です。
運用負担やコストを抑えてEDRを導入する方法
ここまででご説明したとおり、社内のシステムやデータの安全性を確保するには、従来のセキュリティ対策ソフトウェアに加えて、EDRを使うことが効果的です。
「そうは言っても、運用の負担が増えるのは困る」
「コストがかさむのではないか」
と、お考えの方も多いでしょう。
そこで活用したいのが、以下の製品です。
| 運用負担やコストを抑えてEDRを導入するには? | |
|---|---|
| 大手セキュリティベンダーが提供するEDR製品 | ・比較的手軽にEDRによるセキュリティ対策が可能 |
| クラウド型のEDR | ・導入や管理が容易 |
| Carbon Black社の「Cb Defense」 | ・従来のセキュリティ対策ソフトウェアの機能とEDRの機能を併せ持つような次世代型のソフトウェア |
このようにEDRは、導入・運用・セキュリティ事故発生時の対応などすべてを、自社で、専門的な技術者のもと行う必要はありません。製品として導入したり、クラウドを利用したりするなど、手軽に使える方法もあります。
EDRを含むエンドポイントセキュリティ市場の推移
国内のサイバーセキュリティ市場は、年々、拡大する傾向にあります。日本ネットワークセキュリティ協会によれば、2022年のエンドポイントセキュリティ売上高は、前年比5.4%増の2,447億7,100万円にも上ると推計されています。
エンドポイントセキュリティに関するソリューションは、今後、クラウド化などがさらに進むにともない、堅調に売り上げを伸ばしていくことが予想されると言えるでしょう。
エンドポイントセキュリティ対策製品の比較表
続いて、エンドポイントセキュリティ対策製品の特徴を表にまとめましたので、比較する際にぜひ役立てください。
| EDR | EPP | NGAV | DLP | |
|---|---|---|---|---|
| 役割 | 端末(エンドポイント)の挙動を監視し、マルウェア侵入後の迅速な処理を支援する。 | データベースをもとにした、マルウェアの侵入を防止する。 | 振る舞い検知や機械学習による、マルウェアの侵入を防止する。 | 特定の機密情報の監視に特化し、情報漏洩を防ぐ。 |
| メリット | サイバー攻撃やマルウェア感染による被害を最小限に抑えられる。 | 既知のマルウェアを確実に検知できる。 | 新種のマルウェアも検知し、対応範囲が広い。 | ユーザーの行動に依存せず、機密情報を堅牢に守れる。 |
| 注意点 | マルウェアの侵入前の水際対策が目的ではない。 | データベース未登録のマルウェアに対応できない。 | 検知をすり抜けたマルウェの対処はできない。 | 機密情報の定義、セキュリティポリシーの策定などが必要。 |
| 導入ニーズ | 新種のマルウェア対策に加え、マルウェア侵入後の対策も施したい。 | ※旧来型のシステムであるため、新たな導入には適していない。 | 従来のEPPから新種のマルウェアにも対応できる製品に変更したい。 | 悪意ある第三者だけでなく、内部不正や操作ミスによる情報漏洩も防ぎたい。 |
エンドポイントセキュリティ製品を導入する際は、上記の表を参考にしてみてください。
よくある質問
最後に、EDRに関するよくある質問2つにお答えします。
EPP/NGAVがあれば、EDRはいらない?
おすすめのEDR製品は?
EDR導入の費用相場は?
EDR導入にかかる時間は?
順番に回答します。
Q1.すでにEPP/NGAVがあれば、EDRはいらない?
A.EPP/NGAVとEDRは役割が異なるため、併用がおすすめです。
EPP/NGAVはマルウェアの侵入防止を、EDRはマルウェア侵入後の対処を重視しています。併用すれば、マルウェア侵入の前後どちらにも対応できるため、より堅牢なセキュリティを構築できるでしょう。
Q2.おすすめのEDR製品は?
A.こちらからおすすめのEDR製品をご覧ください。
EDR製品の一覧を掲載しており、効率良く製品を比較できます。また、資料請求も一括で行えますので、ぜひご活用ください。
Q3.EDR導入の費用相場は?
A.エンドポイントの数や製品によって異なります。一般的には数千円から数万円程度です。初期費用を抑えたい場合は、クラウド型EDRを選ぶのをおすすめします。
Q4.EDR導入にかかる時間は?
A.導入先の数などによっても変動しますが、数ヶ月程度を見込んでおきましょう。
まとめ
従来のセキュリティ対策ソフトウェアが、マルウェアなどの脅威に対して感染防止のための役割を果たしているのに対し、EDRは、「感染した後の迅速な対応」を行うためのものです。
近年は、マルウェア感染や、それに伴う情報漏えいなど、さまざまなセキュリティ事故が頻発しています。万が一対応に失敗すると、企業は、信用の低下だけでなく、賠償金の支払いなど企業の存続に関わるようなケースになることもあります。このような被害の拡大を防ぐためにも、セキュリティ事故では、初動の迅速な対応が欠かせません。
そこで、「従来のセキュリティ対策ソフトウェア」と「EDR」を連携させて運用することで、セキュリティ対策のバージョンアップをはかることが重要となります。