EDRとは？機能や仕組み、効果的な運用方法やおすすめサービスも紹介

サイバー攻撃の進化や在宅勤務の普及など、セキュリティ対策を取り巻く環境は日々進化しています。環境の変化により、従来のセキュリティ製品だけでは対応が難しいサイバー攻撃のケースも増えてきました。そんな中、従来製品を補うものとしてEDRが注目されています。

本記事では、EDRの概要や機能、EPPとの違い、そしてEDR製品を選ぶ際のポイントを絞って解説していきます。

EDRとは？

EDRは近年注目を集めているセキュリティソリューションです。

EDRに似たソリューションとして、EPPなどが挙げられますが、両者の違いなどに関しても本章で解説します。

EDR（Endpoint Detection and Response）とは

EDRは「Endpoint Detection and Response」の略であり、パソコンやスマートフォンなどのエンドポイントにおける不審な挙動を検知し、対応を支援するセキュリティソリューションです。

エンドポイントがサイバー攻撃による被害を受けることを前提に、マルウェアの検知や除去などを行うことで被害を最小限に抑えることを目的にしています。

エンドポイントにあたるもの

EDRはエンドポイントのセキュリティですが、エンドポイントに該当するデバイスは多岐にわたります。

上図のように、エンドポイントとはPC・スマートフォン・タブレット等のデバイスをはじめとした、企業ネットワーク内外に存在する端末を指します。

私物端末の持ち込み（BYOD）やリモートワークの増加などにより、保護対象となるアプリケーションやユースケースは増加し続けており、早急に対応が必要です。

EPPとの違い

EDRと混同されやすいセキュリティソリューションとして「EPP」があります。

EPPは「Endpoint Protection Platform」の略で、エンドポイントにインストールすることでエンドポイントを保護するセキュリティソフトウェアであり、現在多くの会社で導入されています。

EDRとEPPでは製品の目的が異なり、従来型のEPPは主にデバイスへのマルウェアの侵入を未然に防止することが目的で、EPPを用いた手法ではパターンマッチングを中心とした検知を行い、マルウェアの感染を水際で防ぐのが一般的でした。

一方、EDRは侵入後にいち早くその侵入を検知・分析し、マルウェアの封じ込めやシステム復旧などをサポートすることを目的としています。

EDRは侵入されることを前提とした対策を行うことで端末を保護するという、従来とは異なる手法をもとに確立されたセキュリティソリューションです。

エンドポイントセキュリティが注目されている背景

近年、エンドポイントセキュリティはますます注目されており、Mordor Intelligenceの調査によると、世界のエンドポイントセキュリティ市場（以下、調査対象市場と呼びます）は2020年に139.6億米ドルと評価され、2026年までに222.1億米ドルに達すると予想されています。

参考：エンドポイントセキュリティ市場-成長、傾向、COVID-19の影響、および予測（2022年-2027年）Mordor Intelligence
https://www.mordorintelligence.com/ja/industry-reports/global-endpoint-security-market-industry

これほどまでにエンドポイントセキュリティが注目されるようになったのには理由があります。

本章ではエンドポイントセキュリティが普及した3つの背景を解説します。

不正アクセスの高度化

現代においてはサイバー攻撃から機密情報や顧客・社員の個人情報を守るため、多くのセキュリティ製品が登場し、導入されています。

それにも関わらず、マルウェア等の攻撃手段が日々高度化することで、企業側もこれまでにないレベルで複合的な対策が求められています。

こうした新たな攻撃手法によって、強固なセキュリティでもすり抜けられることがあります。

そのため従来のような侵入させないことを目的としたセキュリティに加えて、侵入してしまったことを念頭においた対策も行う必要があり、EDRが注目されています。

ソフトウェアのクラウド化

クラウドサービスの普及によって、以前よりセキュリティリスクは増しています。

従来のセキュリティはネットワークの内外をはっきりと識別し、内部を厳重に保護することで外部からの攻撃を防いでいました。

しかし近年、SaaSなどの普及により、業務システムを社内サーバーからクラウドサービスに移行する会社が増えています。

クラウドサービスが普及した現代においては、企業の内側・外側というファイアウォールなどを境界としたセキュリティ対策では安全性を担保することができず、従来よりもセキュリティリスクが上昇しているといえます。

クラウドサービスのセキュリティについては、下記で詳しくご紹介をしています。

クラウド情報のデータ漏えいはなぜ起きる？トラブルの事例とクラウドのセキュリティ対策について解説

クラウドストレージのセキュリティリスクと対策、中小企業におすすめのサービスをご紹介

働き方の多様化によるネットワーク利用方法の変化

これまではオフィス出社が基本で、社内ネットワークを介して業務を遂行するのが当たり前でしたが、新型コロナウイルスの影響などで、在宅勤務をはじめとした多様な働き方が増加しています。

在宅勤務などの普及で、自宅やカフェなど外部のネットワークから業務を遂行する機会が増えている昨今においては、社内と社外を区別して対策を行う従来のセキュリティ手法では限界があり、侵入後の対処に重きを置くEDRが注目されるようになりました。

エンドポイントセキュリティと従来のセキュリティとの違い

エンドポイントセキュリティは現在の環境を踏まえた手法という点で、従来のセキュリティとは異なります。

エンドポイントセキュリティと従来のセキュリティの相違点について本章で解説します。

ネットワークにおける「境界」の曖昧さ

従来のセキュリティではネットワーク境界にファイアウォールが設置されていることもあり、「ネットワーク内部は安全」とみなす考えが一般的でした。

しかし先述のように、在宅勤務の普及により外部のネットワークを利用した業務などが生じており、ネットワークの境界は以前よりも曖昧になっています。

このような状況を踏まえて、エンドポイントセキュリティはネットワークの内外が曖昧である前提で構築されています。

「ゼロトラスト」の前提で成り立つ

ゼロトラストは、「ネットワークの内側は安全」とみなすのをやめ、どのエンドポイントも信頼しないとする考え方です。

特に近年、クラウドサービスの普及により、「信頼できる内部ネットワーク」と「信頼できないインターネット」というモデルは崩壊したといえます。

エンドポイントセキュリティでは上記の状況を前提として、すべてのエンドポイントが常にセキュリティ上の脅威であるとみなしています。

ゼロトラスト・セキュリティモデルについては、下記で詳しくご紹介をしています。

ゼロトラスト・セキュリティモデルとは？境界線セキュリティモデルとの違いからメリット・デメリットまでわかりやすく解説

EDRの機能と仕組み

EDRの考え方や従来のセキュリティとの差異については前述しました。

本章ではより詳細なEDRの機能や仕組みについて解説します。

EDRの機能

EDRの基本的な機能はデバイス操作ログの監視です。

対象となるエンドポイントにアプリケーションを導入することでリアルタイムの監視を実現します。

その他にもEDRには様々な機能がありますが、代表的なものは以下の通りです。

• エンドポイントのリアルタイム監視
• エンドポイントのログデータを解析、サイバー攻撃の予兆を検知
• マルウェアによる脅威を検知、被害状況を特定
• 脅威を検知した際、ネットワーク切断などの対応

EDRの仕組み

様々な機能のあるEDRですが、一般的な仕組みは以下の通りです。

• 監視・検知

エンドポイントをリアルタイムで監視して、ウイルスやマルウェアによる異常な操作を自動で検知する。

• 隔離

EDRがウイルス・マルウェアなどによる異常操作を検知すると、感染した端末をネットワークから隔離し、感染拡大を防ぐ。

• 調査・分析

エンドポイントのログ情報をもとにマルウェアの侵入経路や感染原因、被害範囲などを調査し、マルウェアの概要について分析を行う。

• 復旧

3の調査・分析の結果を踏まえて、特定の危険なファイルの選定、削除を行う。

驚異の特定ができれば復旧に必要な最低限の作業で、迅速にエンドポイント端末のマルウェアを駆除できます。

EDRのメリット

EDRの導入によるメリットは多岐にわたります。

すでにEPPにあたる他のセキュリティソリューションを導入している企業であっても、EDRの導入について検討をおすすめします。

本章ではEDRの導入メリットを解説します。

侵入したマルウェアをいち早く検知・除外できる

先述の通り、EDRは侵入後にいち早くその侵入を検知・分析し、マルウェアの封じ込めやシステム復旧などのサポートを目的としています。

EDRではEPPやその他ソフトウェアで侵入を防ぐことが出来なかったマルウェアやウイルスをいち早く検知・除外できます。

可視化機能でマルウェアが侵入した原因や影響範囲を容易に把握できる

EDRには可視化機能がついているものも多くあります。

この可視化機能を活用すれば、マルウェアが侵入した根本原因や侵入による影響範囲を従来よりも容易に特定できます。

事後対応がスムーズになり、業務効率化に繋がる

EDRではログを収集しているため、ログの内容を事後的に様々な角度から可視化できます。

これによって原因や影響範囲の特定が可能になり、事後対応もスムーズに行えるようになり、業務効率化に繋がります。

EDRの効果的な運用方法

EDRには様々な特徴・メリットがありますが、使い手側がその機能を使いこなす必要があります。

本章ではEDRの効果的な運用方法をお伝えします。

検知に至ったプロセスを明らかにし、脅威と判断した理由を明確にする

EDRがなぜこのプロセスを脅威と判断したのか理解をすることで運用の効率化と検知精度の向上につながります。

製品によってはなぜそれを脅威と検知したかのプロセスを参照できない場合もあるので注意が必要です。

悪意のある侵入のみを知らせるよう、検知精度を高める

EDRは運用をしっかり行わないと、不要な検知によるアラートが大量に発生します。

前述の検知プロセスの理解にもかかる部分ですが、検知精度を高めることで不要な検知を除外できます。

これにより、アラートの分析・対処に必要な時間を省略、短縮できます。

侵入を未然に防ぐためのセキュリティも施す

EDRは主に侵入後に働くセキュリティソフトであるため、EPPなどの侵入を未然に防ぐセキュリティソフトを導入することで、セキュリティを補完することが可能です。

これにより、セキュリティの質が向上するだけでなく、EDRのアラート削減にも繋がり、工数削減を実現することができます。

EDR製品を選ぶポイント

EDR製品の選び方

・検知能力

マルウェアなどは日々アップデートを繰り返しています。

このような未知の脅威に対しては十分に蓄積された知識や検知ルールが必要不可欠です。

常に最新の脅威を検知できるようにするためにも、多様な情報から収集された、詳細なデータを検知に活用できる製品を選ぶ必要があります。

・分析の精度

EDRはエンドポイントで得たログを分析することが可能です。

このログ情報をもとに高い精度で攻撃を検知でき、リアルタイム分析を行うことが出来るかを確認する必要があります。

・十分な調査機能を使用できるか

エンドポイントでマルウェアの侵入などが発見された際、迅速な調査が求められます。

EDR製品の中には、感染経路や原因、影響範囲の調査の自動化が備わっているものもあるため、選定の際には意識しておく必要があります。

・システム環境

EDRの製品によって、対応しているサーバーやOSなどが異なるため、EDRが対応しているシステム環境の条件を満たしているか事前に調べる必要があります。

また、環境は満たしていても動作の安定性を保てるかという観点で、既存のシステム環境への負荷も考慮しましょう。

・管理サーバーのタイプ

ログを監視するための管理サーバーには、自社にEDR用のサーバーを置くタイプと、クラウドタイプがあります。

クラウドタイプは導入費用や運用の負担が軽減する場合もあるため、費用を抑えたい場合におすすめで、社内でログを管理する場合には、自社サーバーを選ぶことをおすすめします。

・他のセキュリティ対策とも組み合わせる

EDRではマルウェア等の侵入後の対策をするため、他のセキュリティ対策ソフトと組み合わせることでよりセキュリティ効果を引き出すことが可能です。

しかし、ソフトウェアの相性によってEDR、EPPどちらかの動作が不安定になる場合があるためEDRとEPPは同じ会社が提供する製品の使用をおすすめします。

おすすめのEDR製品

選定ポイントを踏まえたうえで、おすすめのEDR製品をピックアップしています。

検討の際の参考にしていただけると幸いです。

Sophos Intercept X Advanced

Sophos社が提供する「Sophos Intercept X Advanced」は、ランサムウェアによって行われた変更をロールバックする機能が特徴で、大企業向けのクライアント機能に焦点を当てた脅威保護機能を搭載しています。

CPMS powered by BlackBerry

MOTEX社が提供する「CPMS powered by BlackBerry」は、AIアンチウイルスソフト「BlackBerry Protect」を採用したセキュリティサービスです。小型で軽量な数理AIベースのエージェントは、未知・亜種のマルウェアを99％以上の高い精度で検知できます。オフラインでも稼働でき、機器への負担も少ないため、低負荷のソリューションを探している会社にもおすすめの製品です。

Checkpoint Harmony

Check Point社が提供する「Checkpoint Harmony」は、EPPとEDRの両方の機能を兼ね備えた8種の統合セキュリティ（アクセス制御、サンドボックス＆無害化、Web保護、データ保護、VPN、NGAV、EDR）を実現できるのが特徴です。また、自社ファイアウォールとの統合が改善され、複数の製品にわたる監視と脅威も統合的に管理できるため、既存でチェックポイントの機器を利用している場合もおすすめです。

WatchGuard Endpoint

WatchGuard社が提供する「WatchGuard Endpoint」は、管理コンソールでWatchGuardのFireboxと一元管理ができます。他の製品と異なり、実行中の全てのプロセスを監視し、信頼できると分類したプロセスのみを実行する機能と、脅威の判断をお客様に委ねることなく自動で分析する機能が準機能の中で提供されます。

Panda Adaptive Defense 360

WatchGuard社が提供する「Panda Adaptive Defense 360」は、EPP（防御対策）とEDR（侵入後の対処）を単一の軽量エージェントで実現し、全てのエンドポイントアクティビティをリアルタイムで可視化できる製品です。他のセキュリティツールとの連携やAPI接続に強みを持ち、他製品との豊富な連携の実績を持ちます。

Acronis Cyber Protect Cloud

Acronis社が提供する「Acronis Cyber Protect Cloud」は、データをバックアップすることで、エンドポイントセキュリティを確保する製品です。本製品のメリットは、「バックアップ」「セキュリティ」「IT管理」がオールインワンでできる点にあります。

セキュリティ対策は万全に行う必要がある（まとめ）

エンドポイントセキュリティはクラウドサービスや在宅勤務の普及、またウイルスやマルウェアの高度化により、必要不可欠なセキュリティ対策となりました。

そしてこの流れは今後も進行すると考えられており、ますますエンドポイントセキュリティ対策の重要性が増していきます。

今後も万全のセキュリティ対策を確保するために、まだEDR対策がお済でない場合は早急に導入をおすすめします。

TDシネックスおすすめのEDR製品については、下記で詳しくご紹介をしています。
https://www.synnex.co.jp/solution/security/endpoint-security/

またエンドポイントプロテクションの進化（「EPP」「NGAV」「EDR」の違い）に関しても下記動画で基礎から分かりやすくご紹介しています。

【ライタープロフィール】
くぼ　かいと
関東のIT企業で働くコンサルタント。EPRやAdobeをはじめとするマーケティング分析基盤の構築などを担う。最近はIT投資戦略の立案など上流よりの幅広い業務を経験。