セキュリティ情報 SECURITY INFORMATION
ブログ
  • INFORMATION
  • 2023.06.20

エンドポイントセキュリティのひとつであるEDRとは?機能や効果、従来のウイルス対策ソフトとの違いを紹介

世界的にサイバー攻撃は日常茶飯事で、近年では、ロシア政府を支持するハッカー集団「キルネット」が日本政府に対してサイバー攻撃を仕掛けたことが有名です。また、2022年7月にクラウドストライク株式会社がEDR機能を拡張する新モジュール「Falcon XDR(Extended Detection and Response)」を、日本で提供開始すると発表して話題です。そして今回、マルウェア対策において注目されている「EDR」についてわかりやすく紹介します。

EDR(Endpoint Detection & Response)とは?

EDR(Endpoint Detection and Response)を知っていますか。ユーザが利用するPC、サーバなどにおいて不審な挙動を察知し、迅速な対応を支援するものです。エンドポイントとはPCやスマートフォン、サーバなどのデバイスを意味します。
例えば、EDRでは、PC、サーバの状況、通信内容などを監視しており、異常や不審な挙動があると、速やかに管理者へ連絡してくれます。その連絡を基に、内容分析することが可能です。

EDR誕生や注目されている背景

サイバー攻撃の目的は、年々高度化しています。日々発生している様々な攻撃に立ち向かうため、EDRが誕生するまでにどのような対策が実施されていたのか、また、そこからなぜEDRが誕生したのか紹介します。そして、今EDRが注目されている背景についても触れながら、EDRの重要性について理解を深めていただけたらと思います。

EDR誕生の背景

EDRは従来の脅威の侵入を防ぐというものではなく、感染後、迅速に検知して対策を行います。その背景に、コンピューターウイルスやサイバー攻撃の増加があります。
元々1990年代頃にコンピューターウイルスが生まれたと言われていますが、当時は身内でのサプライズ的な存在で、悪意のないプログラムばかりでした。しかし、これらは次第に悪用されるようなプログラムに変わっていき、重要な情報を盗み出すなど、相手に被害を及ぼすようになってしまいました。実際、サイバー攻撃が頻発するようになってきたのは2000年代に入ってからです。そこで、アンチウイルス製品が登場します。これは、コンピュータに侵入したウイルスやマルウェアを検知して、除去するソフトウェアのことをいいます。ウイルスを解析して、その攻撃パターンを掴み、感染前に予め見つけ出して対処するという機能であるため、対象のウイルスについて中身が明らかになっていないといけません。すなわち、未知のウイルスに対しては解析が完了しない限り、対応できないことになってしまいます。アンチウイルス製品を提供している企業は、日々、最新のウイルス解析を行ってアップデートを繰り返し、対策をとってきました。しかし、サイバー攻撃もその上をいき、解析やアップデートを繰り返しても次々と新しいウイルスが出てくる、いたちごっこのような状況でした。
そこで、これらに対処するべく、2013年にEDRが誕生しました。各エンドポイントで不審な動きがないか常に監視して、未知のウイルスにも対応することができるようになりました。あらゆる脅威に対して予め防ぐのではなく、内部に侵入した脅威を迅速に検知することで対処することを主としています。

EDRが今注目されている背景

EDRが誕生した背景には、ここまで紹介してきたような流れがありますが、最近はAIなどの技術進化もあって、様々なマルウェアを生み出すことが容易になっています。技術の発展はすばらしいですが、それを犯罪に悪用してしまうのは悲しいものです。侵入を防ぐ対策はもちろん、侵入されてしまったことを前提に対策する必要がでてきました。侵入後の被害は迅速に抑えなければなりません。その仕組みが、実は最も重要だと言われています。このように、セキュリティ意識の変化が、EDRが注目される背景のひとつと言えるでしょう。
また、最近はリモートワークにより社外ネットワークを利用する機会が増えていることも、EDRが注目されている背景にあります。新型コロナウイルスの感染症拡大は、業務におけるネットワーク利用を加速させました。これまでは会社で業務することが必須だったため、社内のネットワークを利用するだけでしたが、最近はリモートワークの普及によって社外のネットワークを利用することが急に増えてきました。実際に社内と社外とを切り分けるセキュリティの境界型防御だけでは限界があるのが実情です。そこで、EDRによって全てのエンドポイントを監視するというのが今注目されつつあります。

EDRとEPPの違いとは?

ここから、従来のEPP(Endpoint Protection Platform)とEDRとの違いについて紹介します。どちらもエンドポイントセキュリティ、エンドポイント対策と呼ばれていますが、それぞれどのような特徴があるのかを見比べ、その重要性について知っていただきたいと思います。

従来のEPPの特徴

EPP(Endpoint Protection Platform)は、「エンドポイント保護プラットフォーム」を意味します。すなわち「アンチウイルスソフト」のことです。わかりやすく言えば、ウイルス対策製品です。つまり、エンドポイントのウイルス感染を防ぐソフトウェアのことで、操作端末やサーバをウイルス感染から保護する役割があります。主に、ファイルベースのマルウェア攻撃を検知して、調査分析や自動修復を支援しています。“予め”、マルウェアの感染を防ぐことが目的です。

EPPとEDRの違い

EDRとは、「エンドポイントでの検知と対応」と日本語で訳します。PCやスマートフォン、タブレットといったエンドポイントがウイルスなどの脅威に晒された際に、迅速に検知して対処するためのセキュリティツールです。EPPとEDRが共にエンドポイントを守るためのセキュリティであるため、一見同じように見えますが、両者は「目的」が違います。
EPPの目的は、エンドポイントにウイルスを侵入させないよう事前に対策することですが、EDRの目的は侵入後に素早く対処することです。このように、ウイルスの侵入を未然に防ぐ目的のセキュリティがEPP、侵入してしまったウイルスを即座に検知し対処するのがEDRと覚えておいてください。

機能

EDRには様々な製品があり、それぞれ特徴も異なります。基本的にはクラウド上にある管理サーバと通信を行い、デバイス操作のログ監視を実施します。そんなEDRの機能を見ていくと、以下のようになります。
・監視:ネットワーク全体に接続されているそれぞれのエンドポイントをリアルタイムに監視
・検知:各エンドポイントのログデータを解析して、サイバー攻撃の兆候を検知
・特定:感染が起こっているエンドポイントと、他のエンドポイントに感染していないか、感染・被害の状況を特定
・可視化:各エンドポイントの状態をモニターに可視化することでわかりやすく管理

仕組み

EDRの仕組みを見ていきます。
まず「エージェントソフトウェア」という専用のソフトウェアを導入します。これによって、各エンドポイントの使用状況や通信内容などのログを収集します。収集したログはサーバへ送られ、不審な挙動はないか、サイバー攻撃を受けていないかどうかを分析します。当然、データとしての蓄積も行なっています。もし、不審な挙動や攻撃が発見されたときには、管理者にすぐ通知される仕組みとなっています。通知が来ると、さらにログを精査して、その原因や影響範囲などを確認し、適切な対処を実施します。EDRには、ログを蓄積する機能や、分析結果を通知する機能、不審な挙動や攻撃に対して適切な対応ができる機能が備わっています。

機能面や導入コストなどからEDR製品を選定するポイント

現在のEDR製品には様々なものがあります。しかし、それぞれEDRに求められる機能を完全に備えているわけではなく、それぞれ機能が異なります。そこでEDR製品を、機能や性能の比較をしながら検討するのに、大切なポイントをこちらで紹介します。

検知能力

マルウェアやランサムウェアなど、未知の脅威が日々生み出され、攻撃も日々高度化されていると考えられます。まずは、最新の脅威を正確に検知できるか、予め確認しておきましょう。また、複数のエンドポイント間でアクティビティを相互に関連付けることで、高精度な脅威検出ができるかどうかも評価ポイントとなります。チェックしておくことをお勧めします。中には、AIや機械学習などが搭載されたEDR製品もあります。

調査支援の機能

EDRによってエンドポイント上で脅威が発見されたとき、迅速にその原因や感染経路、影響範囲などを調査して対処することになります。発見することも大切ですが、その後いかに迅速かつ的確に処理できるかが大切です。EDR製品には、これらの作業を自動化できる機能が備わっているものもあります。優れたEDR製品では、感染端末のプロセスを強制的にシャットダウンさせたり、怪しいファイルの隔離、ログの保存などを遠隔操作できる機能が備わっているものもあります。このような自動化機能が備わっているものを使うと、効率化につながります。調査支援機能をしっかりチェックしておくとよいでしょう。

分析機能

EDRで脅威を検知するためには、各エンドポイントでログを取得し、サーバ上に収集して分析を行う必要があります。この分析機能も重要で、その精度はとても重要です。分析機能として品質の良さを比べるならば、異なるエンドポイント間を関連付けて分析しているものや、外部の脅威インテリジェンスに関しての情報も組み合わせて分析する機能が備わっているものなど、高度な分析が可能なEDR製品が安心です。また、リアルタイムに分析ができるのも重要です。事前にチェックしましょう。

システム環境やサーバ

製品によっては、対応しているサーバやOSなどが異なるため、EDR製品を選定する際には対応しているシステム環境を必ずチェックしておきましょう。なお、EDR製品を導入するときに必要になるサーバですが、ログを監視するための管理用サーバを検討する必要となってきます。自社にEDR用のサーバを置くか、あるいはクラウドを利用するタイプがあります。ログを社内で管理したいなら、自社サーバを設置するのがおすすめです。しかし、クラウドには導入費用や運用費用を軽減できるメリットがありますので、こちらも検討するとよいでしょう。

アンチウイルス製品など従来のEPP製品を既に導入している場合は?

既にアンチウイルス製品などのEPP製品を導入している場合は、EDRの導入をおすすめします。というのも、EPPだけでは現代のセキュリティ対策としては不十分であるためです。標的型攻撃ウイルス等の新しいウイルスが今後出回ってきた場合、各アンチウイルス製品のメーカーなどがそのウイルスの情報を認識し、対応するまでに数日程度かかるといわれています。ウイルスの侵入を未然に防ぐ目的のセキュリティがEPP、侵入してしまったウイルスを即座に検知し対処するのがEDRとお伝えしましたが、EDRは基本的にEPPの機能を包括しています。より堅牢なセキュリティを実現する為に、EDRを是非導入しましょう。

まとめ

今回は、エンドポイントセキュリティの1つであるEDRについて紹介しました。今回紹介したように、EDR製品には、EPPとの組み合わせ製品など、様々なバリエーションがあります。自社ですでにセキュリティ対策がなされていると思いますが、その場合はEDR製品とマッチするかも、ぜひ検討しておくとよいでしょう。また、サイバー攻撃への対処が遅れると、大規模な情報漏えいやWebサイト稼働停止などの重要な事態へ発展するリスクが高まります。そこで、未知のマルウェアに感染してしまった際には、素早く検知して対処するEDRに注目が集まっています。EPPとEDRとでは、機能と役割が異なるため、エンドポイントを保護するためには両方を併用するのがおすすめです。

お問合せ