これまでのセキュリティ対策ソフトウェアというと、「ウィルスに感染しないようにすること」が目的でした。しかし、ゼロデイ攻撃やさまざまなウィルス亜種など、近年は脅威を防ぎきれないケースも少なくありません。

そこで登場するのが「EDR」です。EDRは、さまざまな脅威に感染した際に迅速に対応するためのものです。今回はこのEDRについて学びましょう。

EDR(Endpoint Detection and Response)とは

EDRとは、セキュリティ対策製品ですが、「エンドポイントでの脅威を検知し、対応を支援する」というものです。これだけの説明ではわかりにくいですよね。実はEDRは、「不正な挙動を検知し、感染した後の対応を迅速に行うこと」を目的とした製品です。

端末上でEDRは、次のような方法で脅威を検知します。

  • マルウェアやウィルスとして知られたファイルやプログラムがないか検索する
  • ログやプロセスを監視し、不審な動きをしているものがあれば停止させる
  • 正しくセキュリティパッチなどが適用されているかどうか調べる

こういった働きを行なうことで、脅威に感染したことを素早く検知し、迅速な対応に結びつけるのがEDRの役割です。

従来のセキュリティ製品との違いは?

大手のセキュリティベンダーから、さまざまなセキュリティ対策製品が販売されています。これら従来のセキュリティ製品とEDRとはどう違うのでしょうか。

従来のセキュリティ製品とEDRとの大きな違いは、その目的です。

  • 従来のセキュリティ製品の目的
    マルウェアなどの脅威に感染しないこと。感染から防御すること。
  • EDRの目的
    感染したことを迅速に検知し、素早い対応につなげること。

つまり、従来のセキュリティ製品でマルウェアなどの脅威に感染しないようにしっかりと防御するということを行った上で、万が一感染した場合の迅速な対応はEDRにおまかせといったところでしょうか。

EDRの必要性

先の章ではEDRの目的が、従来のセキュリティ製品とは異なり、感染した後の迅速な対応にあると説明しました。これに対して、説明したとおり従来のセキュリティ対策ソフトでは、マルウェア等の脅威に感染しないようにすることを目的としています。

したがって、脅威に対する対応を段階別に分けるとすれば、従来のセキュリティ対策ソフトウェアとEDRは、以下のように役割分担が出来ます。

段階 対策 目的
感染する前 従来のセキュリティ対策ソフトウェア 感染の防止
感染した後 EDR 除去等の迅速な対策

このように、EDRは従来のセキュリティ対策ソフトウェアとは異なり、感染した後に「迅速に除去し、被害の拡大を防ぐ」などの目的を持っています。

セキュリティ事故は、迅速に対応することで被害の拡大を最小限にすることが出来るなど、初動の適切な対応が不可欠ですが、EDRはこれを支援してくれるものとして「防止と対応」という観点から、従来のソフトと併せて重要なものと言うことが出来ます。

EDRは自社で運用できる?

ここまでで従来のセキュリティ対策ソフトウェアに加えて、EDRを使うことで不可欠であることがよくお分かり頂けたのではないでしょうか。

しかし、多くの企業にとってEDRを経験したことはないのではないでしょうか。どういった運用が必要になるのか、コストはどれくらいになるのか。これでは運用に二の足を踏むのも不思議ではありません。果たして自社でEDRを運用できるものなのでしょうか。

ここで使えるのが、大手のセキュリティベンダーが提供しているEDR製品です。これらを使うことで比較的手軽にEDRによるセキュリティ対策を行なうことが出来ます。導入や管理が容易なクラウド型のEDRもあります。さらには、従来のセキュリティ対策ソフトウェアの機能とEDRの機能を併せ持つような次世代型のソフトウェアであるCarbon Black社の「Cb Defense」のような例もあります。

このようにEDRは何も自社で導入、運用、セキュリティ事故発生時の対応などすべて専門的な技術者のもとでやる必要があるわけではありません。製品として導入したり、クラウドを利用したりするなど手軽に使える方法もあります。

まとめ

EDRは、従来のセキュリティ対策ソフトウェアがマルウェアなどの脅威に対して感染防止のための役割を果たしているのに対して、「感染した後の迅速な対応」を行なうためのものです。

近年は、マルウェア感染や、それに伴う情報漏えいなど、さまざまなセキュリティ事故が頻発しています。万が一、対応に失敗すると企業にとっては、信用の低下というだけでなく、賠償金の支払いなど企業の存続に関わるようなケースになることもあります。こういったことにならないように、セキュリティ事故では被害の拡大を防ぐために初動の迅速な対応が欠かせません。

そこで、「従来のセキュリティ対策ソフトウェア」と「EDR」をうまく併用することで、これまで以上のセキュリティ対策を行っていくことが重要となります。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。