2024.02.27

EDRとは？その必要性や機能、製品の選び方について解説します

著者株式会社SHIFT　マーケティンググループ

Introduction

EDRとは、エンドポイントを監視し、脅威を検知した場合に自動で対処できるセキュリティ製品です。近年、ウィルス対策ソフトなどで防げないセキュリティの脅威が増えており、その対策として必要性が高まっています。EDRとは具体的にどのような製品なのか、仕組みはどうなっているかなどを知りたい人も多いでしょう。

この記事では、EDRとは何か、詳しい機能や導入するメリット、製品選びのポイントなどについて解説します。

EDRとは？

EDRとは何なのか、ほかのよく似たセキュリティ製品や、セキュリティに関する仕組みとの違いは何かについて解説します。

デバイスを監視し、脅威を検知・対処するセキュリティ対策

EDRとは「Endpoint Detection and Response」のことで、パソコン、サーバーなどのエンドポイントを監視し、脅威を検知、対処するソフトウェアの総称です。

東京都産業労働局の『サイバーセキュリティ対策強化サポート事業』によると、EDRは以下のとおり定義されています。

EDR

侵入を防げなかった脅威を検知・対処するセキュリティ対策

エンドポイントに到達するまでは、ファイアウォールやセキュリティソフトなどによって守られていますが、それらの防御をすり抜けることは十分に考えられます。そのため、サイバー攻撃を入口で防御するだけでなく、エンドポイントが攻撃を受けることを想定した対策が必要とされているのです。

EDRは、社内ネットワークなどに侵入したセキュリティの脅威を迅速に検知し、対応するための対策です。

ほかのセキュリティソリューションとの違い

セキュリティ対策はさまざまな種類があり、混同しやすいものです。そこで、EDRとよく似たセキュリティ対策に関する用語について、ご説明します。

EPPとの違い

EPPとは、Endpoint Protection Platformの略で、一般的によく使われているアンチウイルスソフトのことを指しています。EPPは、これまで発見されている既知のマルウェアなどの脅威を防ぐためのソフトウェアです。

一方、EDRは、EPPで防ぎきれなかったセキュリティの脅威を検知して対処できる仕組みであり、役割が異なることがわかります。

MDR、XDRとの違い

MDR（Managed Detection and Response）とは、EDRをマネージドサービスとして提供したものを指します。MDRでは専門知識が必要なEDRの運用や対応の一部などをアウトソースできます。

MDRについてはこちらもご覧ください。
＞＞MDRとは？SOCとの違いや機能、活用するメリットについて解説のページへ

また、XDR（Extended Detection and Response）とは、エンドポイントだけでなく、周囲のネットワークなどの環境全体における、脅威の検知や対応を行う技術のことです。EDRがエンドポイントを対象としているのに対し、XDRは検知や対応の範囲が広いことがわかります。

SOCとの違い

SOC（Security Operation Center）とは、セキュリティの脅威を24時間、365日体制で監視し、検知・分析して対策を行う組織のことです。エンドポイントを対象とした、セキュリティの脅威の検知や対応を行うソフトウェアであるEDRとは、概念自体が異なります。

SOCについてはこちらもご覧ください。
＞＞SOCとは？その必要性や役割、アウトソーシングするべきか解説のページへ
＞＞SOC（Security Operation Center）とは？いま求められている背景や仕組みを解説のページへ

EDRの必要性が高まっている背景

EDRの必要性が高まっている背景には、サイバー攻撃の手口の巧妙化やテレワークの普及などがあります。ここでは、これらの背景について解説します。

サイバー攻撃の手口の高度化・凶悪化

近年、サイバー攻撃の手口が高度化、凶悪化が進んでいます。

従来は、既知のマルウェアなどの攻撃を防ぐウィルス対策ソフトで、対策が行われるケースがほとんどでした。しかし、未知のマルウェアを作成することが容易になり、既知の脅威しか防げないウィルス対策ソフトだけでは、防ぎきれないケースも増えてきました。

そこで、侵入を防ぐ手段だけでなく、侵入されることを想定した対策である、EDRの必要性が高まりつつあるのです。

テレワークの普及

新型コロナウィルス対策により、各企業がテレワークを推奨したことで、全国的にテレワークによる働き方が広まりました。社内ネットワークという外部から守られた空間以外に、外出先や自宅などで業務を行う人が急増したのです。その結果、社内ネットワークに守られない社外のネットワークにおいて、エンドポイントにおけるセキュリティ強化が必要とされるようになりました。

このように、テレワークが普及したことで、エンドポイントの監視ができるEDRの必要性が高まっていったのです。

EDRの機能

EDRには、ログの監視・保存機能、経緯の検知・管理者への通知機能など、セキュリティの脅威に対応するための機能が備わっています。ここでは、これらの機能について解説します。

ログの監視・保存

エンドポイントのメモリ、ファイルシステムなどに展開されたプロセスやネットワークの使用状況、レジストリの変更状況などのログを収集して保存します。そして、これらの情報を監視することで、セキュリティの脅威を検知します。

脅威の兆候の検知・管理者への通知

収集したログ情報を攻撃者の情報や特徴と照合し、疑わしい情報を検知して管理者に通知します。

リモートによる脅威への対処

収集したログ情報から浮かびあがってきた情報が、インシデントと判断された場合、リモート操作で対応を行います。

具体的な対応内容には、以下のようなものがあります。

・不審な通信先やファイルなどをブロックリストに追加
・不審な情報を収集
・メモリ情報の記録
・ファイルの削除
・マルウェアなどに感染したエンドポイントの隔離処置

EDRを使用しない場合には、感染したデバイスのLANケーブルを抜く、ファイルを削除するなど、手動による対処が必要なケースも多くありました。しかし、EDRを活用すれば集中管理された画面からリモートで対処できるため、対処を迅速化し、二次被害を最小限におさえることが可能です。

インシデント対応の自動化

一度対処を行ったインシデントに関しては、調査から対応までを記録することで自動化を行います。これにより、同じ脅威が発生した際には、対応がスムーズに行われるようになります。

EDRが脅威を検知・対処する流れ

EDRが脅威を検知し、対処を行う流れは以下のとおりです。

1．ログ情報の収集と監視
対象のエンドポイントのログを収集し、監視を行います。

2．脅威の検知と管理者への通知
攻撃者の情報とログ情報を照合して脅威を検知し、管理者に通知を行います。

3．脅威に対する対処の実行
疑わしいファイルなどの情報収集や感染したエンドポイントの切り離し、ブロックなど、脅威に対する適切な対処を実行します。

4．対応の記録と自動化
一度行った対応は記録され、次に対応する際にスムーズに対応できるよう、自動化されます。

EDRを活用するメリット

EDRを活用するメリットには、どのようなものがあるのでしょうか？ウィルス対策ソフトなどの従来のセキュリティ製品ではなく、EDRを利用するメリットについても解説します。

問題が深刻化する前に脅威を除去できる

EDRを活用すれば、エンドポイントで発生している異常をすばやく検知できます。その結果、サイバー攻撃を受けた場合も早期に発見でき、問題が深刻化する前に対処が可能です。

セキュリティの問題の発見が遅れると、マルウェア感染がほかのデバイスに広がるなど、被害が拡大することもあります。EDRを活用すれば脅威を早期発見でき、自動的に対処してくれるので、二次被害もおさえられます。

高度な脅威にも対応できる

従来のウィルス対策ソフトなどは、既知の脅威の情報をもとにして脅威を検出する仕組みなので、既知の脅威しか防げません。未知の脅威は防げないため、対策としては不十分です。

一方、EDRなら既知の脅威だけでなく、未知の脅威も検知できます。近年は、サイバー攻撃が高度化し、新たな攻撃の手口が次々と登場しているため、EDRによる対策は有効です。

リアルタイムで監視・情報収集ができる

EDRは、エンドポイントの状況をリアルタイムで監視し、ログなどの情報を収集することが可能です。この機能を利用すれば、エンドポイントの状況を詳しく把握でき、問題が発生した場合にも早期発見できます。また、収集した情報を詳しく分析することで、発生した問題に対するもっとも効果的な対策を講じることも可能です。

リモート環境でも高い効果を発揮する

同一のネットワーク内でエンドポイントを監視することはもちろん、リモート環境でも利用可能です。リモート環境のエンドポイントを監視して、不正なアクセスや動作などを検知できるので、遠隔地の拠点なども監視できます。企業内に複数の拠点がある場合や、社外のエンドポイントを監視したい場合などに適しています。

EDR製品を選ぶうえでのポイント

EDR製品には、多くの種類があります。そのなかから自社にあった製品を選ぶために、重要なポイントについてご説明します。

自社が求める要素を備えているか確認する

自社が求める機能や要素を備えているかを確認しましょう。検知能力の高さ、必要な支援機能の有無、分析処理の精度、記録する方法などを細かく確認してみてください。求める機能の性能は十分か、自社内の運用にあった機能を備えているかなど、詳しく比較することをおすすめします。

同業種の企業から高評価を得ているか確認する

自社と同業種の企業が高く評価している製品を選ぶ方法もあります。業種によってシステムの使い勝手や運用方法は異なるため、同業種の企業が使いやすいEDRは使い勝手がよい可能性が高いです。同業他社の口コミや評判を確認すると、よい製品が見つかるかもしれません。

EPPなどほかのセキュリティソリューションとの親和性をみる

EDR単体で考えるだけでなく、自社内ですでに採用しているセキュリティソリューションとの組みあわせや親和性も重要です。ほかの製品と役割が被っていないかなどを確認して、もっとも使いやすいEDRを選びましょう。

ネットワークにかかる負荷を確認する

自社のネットワークにかかる負荷が問題ないかを確認しましょう。監視するエンドポイントのそれぞれでログを出力する場合など、どれくらいのネットワークへの負荷がかかるかをあらかじめ検証しておく必要があります。

運用のしやすさを確認する

エンドポイントのログを監視する際の管理サーバーはどうするか、自社で採用しているOSで対応が可能かなど、運用の観点についても検討が必要です。

管理サーバーについては、自社内にサーバーを構築する場合と、クラウドサービスを活用する場合の2種類があります。社内システムの状況やコスト、環境構築の手間などを考慮して、適した方法を選びましょう。

専門家からのサポートを受ける

EDRを運用する際に、専門家によるサポートを受けられるかという観点も重要です。自社内に、EDRを効率よく運用できるIT人材がいない場合は、専門家のサポートを受けられるサービスをおすすめします。専門家のサポートがあれば、どのようなタイプのEDR製品を利用すべきか、どのように運用すべきかなどの具体的なアドバイスを受けられます。

またEDRだけでなく、セキュリティ全般のサポートがある専門会社の方が、セキュリティに関するトータルサポートを受けられるためおすすめです。セキュリティ全般のサポートを一つの会社に依頼することで、ほかのシステムとの組みあわせなども検討してもらえるでしょう。

SHIFTのセキュリティソリューション導入支援について

SHIFTでは、EDRやEPPなどのセキュリティソリューション全般の導入支援を行っています。セキュリティ対策の設計や構築だけで終わるのではなく、運用の最適化、運用時のサポートなどを一気通貫でご支援いたします。

単にツールや製品を導入するだけではなく、お客様の環境にあわせたセキュリティ環境の構築を行うことが可能です。そのうえで、それぞれの環境にあったツールや製品をご提案し、運用時の支援まで対応いたします。

自社のセキュリティ対策が十分なのか不安があるなどの場合は、弊社にお気軽にご相談ください。それぞれのシステムや運用方法にあった、セキュリティソリューションをご提案させていただきます。

SHIFTのエンドポイント監視サービスのご紹介

Windows、Mac、Linuxなどのエンドポイントを診断し、脆弱性を検出・報告するSHIFTのエンドポイント監視サービスについてまとめた資料です。

ダウンロード

まとめ

この記事では、EDRとは何か、詳しい機能や導入するメリット、製品選びのポイントなどについて解説しました。

EDRはエンドポイントを監視し、脅威を検知した場合に自動で対処できるセキュリティ製品の一つです。ウィルス対策ソフトなどの導入が進んでいる企業は多いですが、これらのEPPと呼ばれるセキュリティソフトだけでは防げない脅威も存在します。EDRの導入は、このような高度な脅威を防ぐために有効な対策です。

＞＞SHIFTのセキュリティソリューションのページへ
＞＞お問い合わせページへ
＞＞料金についてページへ

引用元：

東京都産業労働局｜サイバーセキュリティ対策強化サポート事業

この記事を書いた人

著者株式会社SHIFT　マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト：https://service.shiftinc.jp/
コーポレートサイト：https://www.shiftinc.jp/
X（旧Twitter）：https://twitter.com/SHIFT_cp

ご支援業種

製造、金融（銀行・証券・保険・決済）、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

前のページへ

次のページへ

コラム一覧に戻る