覚えておきたい情報セキュリティ&ネットワークのキホン（第18回） EDRとは何か？従来の情報セキュリティシステムとの違いを解説

　サイバー攻撃の手口は、日々巧妙化しています。企業は悪意のある第三者から自社のデータを守るために、自社に設置されているパソコンはもちろん、テレワークで社外に持ち出して使用するパソコンやスマートフォンについても、サイバー攻撃を防ぐための情報セキュリティ対策を行う必要があります。

　情報セキュリティ対策の手法にはさまざまなものがありますが、パソコンなどの端末上で不審な挙動を検知した際に、迅速な対応を行う手法として「EDR（Endpoint Detection and Response）」というものがあります。EDRを導入することで、未知のサイバー攻撃にも対応することが可能になります。

　今回は、EDRが必要とされる背景やEDRの特徴、導入時のポイントを紹介します。

＜目次＞
・EDRとは
・EDRの主な情報セキュリティ機能
・EDRとEPPセキュリティシステムとの違い
・EDR導入で得られる効果
・EDR導入時の注意点
・まとめ

EDRとは

　EDRとは、サイバー攻撃に対して「エンドポイント」で対応を行う情報セキュリティ対策です。エンドポイントとは「末端」「終点」という意味の言葉ですが、情報セキュリティの世界では、ネットワークに接続されている末端機器のパソコンやスマートフォン、タブレット、サーバーなどの端末を示す言葉です。

　これらのパソコンやスマートフォン、タブレット、サーバーと、そこに保存されている情報をサイバー攻撃から守るのに役立つのが、EDRです。

EDRセキュリティが必要とされている背景
　EDRは、サイバー攻撃に対抗するための情報セキュリティ対策として、さまざまな企業で活用されています。その背景には、従来の情報セキュリティ対策では防ぎづらい「未知の脅威」にも対応できる点があります。

　従来の情報セキュリティ対策は、アンチウイルスソフトのように、既知のウイルス（マルウエア）の情報と突合して脅威を検知する手法が一般的でした。しかし最近では、新種のウイルスが次々登場しており、従来の情報セキュリティ対策ではこうした未知の危機に対処できなくなっています。

　しかも従来の情報セキュリティ対策は、コロナ禍で普及しつつあるテレワークにも対応しづらくなっています。例えば、テレワーク中にパソコンやスマートフォン、タブレットといった端末を使用する場合、社外からの不正アクセスを監視する情報セキュリティ対策の1つ「ファイアウォール」の保護外となる場合もあるため、ウイルス感染の危険性は高いといえます。

　また、IT管理者の目が届きにくくなることから、ホームルーターの不備や機器のアップデート不足などが放置されて、これらのシステムの脆弱性を狙われる危険があります。

　最近では、ランサムウエアに代表されるように、組織化された犯罪者集団による金銭目的でのサイバー攻撃が顕著になっています。バックアップデータを含む大量のデータが暗号化されて「身代金」を要求されたり、不正なマクロ機能を仕込んだファイルを請求書や履歴書等に見せかけて開かせ、悪意のあるプログラムを実行させたりするなど、さまざまな被害が報告されています。

　サイバー攻撃の標的は、以前は大企業やグローバル企業が中心でしたが、最近は、情報セキュリティ対策が不十分な場合のある中小企業が狙われることも珍しくありません。中小企業を突破口として大企業への攻撃を仕掛ける攻撃者もいるため、情報セキュリティ対策は、企業の規模は関係なく、最重要課題と言えます。

　このように、不正アクセスの複雑化や、社内外で業務を行うハイブリッドなワークスタイルの定着という現状を踏まえて、ネットワークの内外にとらわれず、すべての通信を信用せずに情報セキュリティ対策を行う「ゼロトラスト」という考え方が主流になってきています。

　EDRであれば、たとえ未知のウイルスが端末内に侵入したとしても、端末上の各種操作ログを総合的に分析してウイルスの不審な挙動を検知し、感染したパソコンをネットワークから隔離することで、被害を最小限に抑えることが可能です。EDRは、ゼロトラストの観点からも有用な情報セキュリティ対策の1つとして注目されています。

EDRの主な情報セキュリティ機能

　EDRのメインとなる機能は、ネットワーク全体を監視し、ウイルスやマルウエアの侵入を防ぐことです。端末上の各種操作ログを総合的に分析し、ウイルス侵入の有無を検知します。取得したログは、解析・管理を行うサーバーに送られ、侵入の恐れがある場合には、管理者にアラートを通知します。

　EDRには、攻撃の原因や侵入のプロセスを可視化する機能もあります。例えばマルウエアの種類を特定したり、侵入経路や侵入目的などを明らかにしたり、どのデータが情報漏えいしたのかなどの情報収集も行います。こうして収集した情報を分析することで、サイバー攻撃の兆候を検知できるEDRもあります。

EDRとEPPセキュリティシステムとの違い

　EDRと比較される情報セキュリティ対策としては、EPP（Endpoint Protection Platform）があります。

　EPPは、アンチウイルスソフトのことで、先に触れた通り、あらかじめソフトウエアに登録されているマルウエアのパターンにマッチした場合、ウイルスやマルウエアの侵入を防ぐもので、いわば防御の役割を担います。

　一方、EDRはウイルスやマルウエアに感染することを前提とした情報セキュリティ対策で、感染後すぐにネットワークから遮断することで、被害を最低限に抑えることを目的としています。

　侵入前の対策であるEPPと、侵入後の対策であるEDRを組み合わせた「多層防御」によって、情報セキュリティはより強固になります。

EDR導入で得られる効果

脅威からの被害を最小限に抑えられる
　EDRは、エンドポイントに侵入したウイルスによる不審な挙動をリアルタイムに分析し、エンドポイントをネットワークから遮断します。ウイルスに対し素早い検知と対処を行うことで、被害拡大を防止します。

未知のウイルスも検知できる
　EDRはウイルスそのものではなく、ウイルス感染によって起こる不審な挙動を監視するため、未知のウイルスに対してもすばやく検知・対策できます。

侵入経路や被害の範囲が把握できる
　EDRはエンドポイントの不審な挙動を常時監視するだけでなく、被害の範囲やどうやって侵入したのか、その経路の把握も可能です。

EDR導入時の注意点

導入にコストがかかる
　EDRはパソコンやスマートフォンなどエンドポイントの数だけ導入しないといけないため、大量のエンドポイントを保有する企業の場合、コストがかさみます。加えて、EDRには侵入後に対応する機能はあるものの、ウイルスの侵入阻止はできないため、侵入阻止のための情報セキュリティシステムと組み合わせる必要もあります。

運用するための人材確保が困難
　EDRは、エンドポイントのログを常に収集・分析して、危険と思われるものに対してアラートを発出しますが、正しい挙動を不審な行動と誤検知する場合もあります。アラートを1つずつ確認することは難しいため、運用するための人材にはスキルが求められます。

自社に合ったEDR製品を選ぶことが重要

　現在、さまざまなEDR製品が提供されていますが、導入にあたっては比較検討が大切です。ウイルスの不審な挙動の検知と基本的な対応は、どのEDRにも搭載されています。しかし、機能面はサービスによって差があります。

　例えばアラートの分析は、自社で行わなければならないものもあれば、EDRのベンダーに委託できるものもあります。EDRの運用では誤検知・過検知も起こり得るため、検知感度のチューニングができるかどうかも重要なポイントです。その他、サイバー攻撃によって影響を受けた部分の復旧は自社で行うのか、外部のサポートが利用できるのかも確認しておきたいポイントです。

まとめ

　サイバー攻撃は日々巧妙化しており、大企業だけでなく、中小企業も対策を考えておくべき時代です。パソコンやスマートフォン、タブレットが、サイバー攻撃の被害に遭う危険が高いのであれば、その危険を前提として情報セキュリティ対策を行うEDRが、企業の力になることでしょう。

※掲載している情報は、記事執筆時点のものです