会社情報 採用情報
サービス・製品

サービス・製品

サービス・製品一覧

ソリューション

テクノロジー

サービス
セキュリティ監視

セキュリティ監視

セキュリティ監視一覧
診断・調査

診断・調査

診断・調査一覧
導入事例
コラム
お知らせ
ソリューション ネットワークセキュリティ ゼロトラストセキュリティ エンドポイントセキュリティ クラウドセキュリティ IDセキュリティ 脆弱性管理
テクノロジー SASE UTM EDR CNAPP IDP PAM SIEM ASM WAF
サービス セキュリティ監視 脆弱性診断 調査・分析 セキュリティアドバイザリー
SOCサービス MDRサービス マネージドSIEMサービス
Webアプリケーション診断 プラットフォーム診断 ぺネトレーションテスト LLM診断 CNAPP運用支援 ASMサービス ダークウェブ調査 セキュリティアドバイザリー
導入事例
コラム
お知らせ
企業理念 サービスモデル 代表メッセージ 会社概要 沿革 取引先 関連会社
採用情報
お問い合わせ
コラム

2026.05.28

EDRだけでは防ぎきれない攻撃・脅威|セキュアエッジ株式会社ー新時代のネットワーク・セキュリティソリューションー

EDRだけでは防ぎきれない攻撃・脅威

EDRは現代のセキュリティ基盤ですが、「EDRを導入していれば安全」という認識は危険です。攻撃者はEDRの検知ロジックを熟知し、正規ツールの悪用・認証情報窃取・EDR無効化など、EDRを回避する手法を洗練させています。
本コラムでは、EDR単体では対処困難な攻撃手法を整理し、MDR/SOCサービスによる多層防御が何故不可欠かを解説していきます。

EDRだけでは対処困難な攻撃カテゴリ

①マルウェアフリー攻撃(Living-off-the-Land)

・PowerShell・WMI等の正規ツールを用い、侵入・横展開
・正規プロセス動作として実行され、ファイル痕跡が残らず検知困難
・確認された攻撃のうち79%がこの手法によるもの

②アイデンティティ攻撃(認証情報窃取)

・フィッシングやインフォスティーラー等により不正に入手した認証情報で正規ユーザーを偽装
・クラウド・VPN/AD環境への不正アクセス、横展開の実施
・トークン窃取やMFA疲労攻撃等によるMFA認証バイパス

③BYOVDによるEDR無効化(EDR Killer系)

・脆弱なドライバを持ち込み、カーネル権限でEDRを停止・改ざん
・2026年4月時点でおよそ90種類のEDRキラーが確認されており、ダークウェブにて容易に入手可能
・EDR完全無効化により、検知不能状態に陥り長期間の潜伏や横展開に発展

④AI駆動型ソーシャルエンジニアリング

・AIを用いた音声ディープフェイクなどでユーザや管理者を騙し、認証情報窃取や不正操作を実施
・人間の判断を標的とするためエンドポイント上に不審挙動が残らず、EDRは正常操作として認識
・AIを悪用したソーシャルエンジニアリングは2023年以降、爆発的に増加

データで見る脅威の変化

データで見る脅威の変化

EDRの「死角」をついた攻撃フローの例

攻撃フローの例

【SOC/MDRによる補完ポイント】
EDRの死角である認証(IdP)・ネットワーク(NDR)・クラウドログ等を横断的に分析し、EDRが見逃した異常を検知
単一イベントではなく攻撃のストーリーとして可視化し、EDR停止後も含めて継続的な監視・対応が可能

企業がとるべき対策 - 多層防御フレームワーク

EDRを基盤とし、以下の4領域を組み合わせた多層防御が有効です。

①アイデンティティ防御(IAM/PAM)

・多要素認証(MFA)の全社展開・フィッシング耐性MFAへの移行
・特権アクセス管理(PAM)でAdmin権限の最小化・セッション記録
・IdP(Entra ID/Okta等)連携によるゼロトラストアクセス制御
・トークン窃取・MFA疲労攻撃への対策(条件付きアクセスポリシー)

②ネットワーク可視化(NDR)

・NDR導入によるC2通信・横移動の検知(EDRが見えない通信レイヤー)
・マイクロセグメンテーションで侵害範囲を最小化
・DNS/Proxyレベルでの脅威フィルタリング(C2ドメインブロック)
・東西トラフィック(内部通信)の継続的な異常検知

③BYOVDドライバ対策・SIEM/SOAR連携

・Microsoft HVCI/WDACによる未署名・脆弱ドライバのロードブロック
・脆弱性管理(VM)ツールでBYOVD悪用CVEを優先パッチ対応
・SIEM/SOARによる全ログの横断分析・インシデント対応自動化
・EDR停止・改ざん検知アラートの設定とSOCへの即時エスカレーション

④人的防御・SOC/MDRサービス活用

・AIフィッシングシミュレーション訓練(年4回以上推奨)
・メールセキュリティゲートウェイ強化(DMARC/DKIM/SPF徹底)
・MDR/マネージドSOCで24/365の脅威ハンティング・インシデント対応
・攻撃の一連のストーリーを可視化し、EDR停止後も監視継続

まとめ –推奨アクション

①EDRの役割を理解する

・端末上の不審プロセスや既知マルウェアに対する検知に強みはある一方で、認証悪用や正規操作の検知には限界がある
・「万能防御」ではなく、可視化と対応の基盤として位置づけ、他レイヤーと組み合わせる前提で運用し、EDR単体に依存しない
【推奨アクション】
EDR単体に依存せず、IdP(認証基盤)・NDR・SIEMと連携した多層防御を構築

②SOC/MDRの利点

・攻撃の多くは「単一イベント」ではなく、複数の正常に見える操作の連鎖で成立する
・SOC/MDRではこれらを横断的に監視し、攻撃の一連の流れを把握、早期検知と迅速な封じ込めを実現
【推奨アクション】
全ログを一元管理し、SIEMで相関分析を行うことで痕跡の薄い攻撃を検出する基盤を構築
内製が難しい場合はSOC/MDRサービスの活用により監視を補完

③インシデント対応体制

・平均ブレイクタイムアウト29分という状況下では、被害拡大防止には24時間365日の監視による迅速な検知が重要
【推奨アクション】
24時間365日の監視体制を確保(SOCまたはMDR)
定期的なインシデント演習を実施し、初期対応やエスカレーションフロー等の周知を実施