EDRとは?EPPとの違い・導入メリット・比較選定ポイントを紹介
パソコンやサーバー、スマートフォンなどのエンドポイント端末を監視・保護する働きを持つEDR(Endpoint Detection and Response)。今回はEDRの仕組み・機能について解説するとともに、導入時のメリット・デメリットなどについて説明します。
- 目次
EDRとはエンドポイントの脅威を検知・対処する仕組み
「EDR(Endpoint Detection and Response:エンドポイント検出対応)」は、ネットワークに接続されたパソコンやサーバー、スマートフォンなどの「エンドポイント(末端)」の機器の挙動を監視し、脅威を検知・対処する仕組み・ツールを指します。サイバー攻撃の高度化・多様化にともない、ウイルス対策ソフトによるこれまでの静的な保護から、より動的な保護の仕組みを確立しようという考え方から生まれました。
EDRは、各機器に不審な挙動はないか、攻撃を受けていないかなどについて分析を行う機能を持ちます。そのため、未知の攻撃にも対応することができます。また、ログの蓄積機能のほか、分析結果をネットワーク管理者に通知する機能、感染端末の隔離など適切な対応を自動で行う機能なども備えています。
近年ではリモートワークやクラウド利用の拡大により、社内外の境界があいまいになっています。そこで社内・社外を区別せず、すべての通信を等しく疑って監視するという「ゼロトラストセキュリティモデル」の考え方が重要になってきます。
「EDR単体を入れれば安全」というわけではなく、SASE(多層防御EPP/EDR、認証、ネットワーク制御など)と組み合わせることで、よりセキュリティレベルを上げることができます。
EPPとEDRの違い
| EPP | EDR | |
|---|---|---|
| 主な目的 | 感染予防 | 感染後の対策 |
| 仕組み | パターン検出(既知のウイルスやマルウェアの特徴情報を基に検知) | 振る舞い検知(端末の挙動を監視し、不審な動きを検知) |
| 主な機能 | ・既知のウイルス検知・隔離 ・脆弱管理 ・ファイアウォール機能 ・アプリケーション制御 ・デバイス制御 |
・端末のリアルタイム監視 ・感染端末の隔離 ・攻撃の分析と証跡収集 ・攻撃の封じ込めや復旧 |
| 対象 | 既知のマルウェア | 未知のマルウェア |
マルウェア対策はEPPの防御機能だけでは不十分です。EDRによる感染後の対策が重要となります。
「EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)」は、登録された既知のウイルスパターンを基にマルウェアを検出するソフトウェアです。アンチウイルスソフトウェアはEPPの一種です。
EPPもEDRと同じくエンドポイントセキュリティの一種ですが、EPPは主にデバイスへのマルウェアの侵入を未然に防止する働きを持つ製品を指し、EDRは主に侵入された後、いち早く検知・分析し、マルウェアの封じ込め、システム復旧などをサポートする違いがあります。簡単に言えば、マルウェア感染前に働くものがEPP、感染後に被害を最小限に抑えるものがEDRと言えるでしょう。
EDRがなぜ今必要なのか?メリットを解説
EPPの技術は日々進化しています。しかし、サイバー攻撃の多様化・巧妙化により、現状ではマルウェアなどの侵入を100%防ぐことは不可能と言わざるを得ません。既知のマルウェアだけでなく、未知のマルウェア対策も必要になってきています。
そこで、万一侵入された場合の対策としてEDRが必要となります。EDRを導入すれば、マルウェア感染による個人情報の流出やデータの改ざんといった被害を最小限に留めることができます。
ただし、前段で説明した通りEDR単独ではすべての脅威に対応することはできません。
そのため、ゼロトラストの考えに基づきEPPやSASE(ネットワークやアクセス経路、クラウド利用も含めた多層防御システム)などその他セキュリティ対策ソリューションを組み合わせて使用する必要があります。
脅威を早期に発見できる
EDRの最大のメリットは、「リアルタイムで監視している」点にあります。EPPをすり抜けたマルウェアを早期に検出・分析し、被害が拡大する前に必要な対策を実施することができます。
多様な働き方に対応したセキュリティ対策ができる
テレワークやハイブリッドワーク、サテライト拠点を含む複数拠点での勤務、端末を社外に持ち出しての外出先での勤務など、柔軟な働き方が普及しました。それにより社内/社外の区別があいまいになり、エンドポイントのセキュリティ対策としてEDRが注目されています。
被害の詳細を把握できる
エージェントが収集した情報はサーバー上にログとして蓄積されています。対策後、ログを解析することにより、攻撃の手口や被害範囲などを詳細に把握した上で、十分な対策を練ることができます。また、感染の証跡を確定することもできるため、安心して通常業務に戻ることができます。
EDR製品を導入する際の比較選定ポイント
現在、様々なEDR製品が登場しています。その中から自社に最適なソリューションを選択し導入する際の比較選定ポイントについてまとめます。
検知精度、機能
検知に使用されるアルゴリズムは製品により異なるため、当然検知精度にも違いが出てきます。AIや機械学習などを応用した製品も登場していますので、なるべく検知精度の高いものを選択しましょう。また、脅威検出時の動作やログ保存の方法など、提供される機能についても比較検討しましょう。
導入・運用コスト
EDRの導入コストは、オンプレミス型かクラウド型かによって大きく異なります。オンプレミス型では導入に数百万円~数千万円の費用がかかりますが、クラウド型は1ユーザーあたり月額数百円~数千円程度で利用が可能です。
導入までの期間についてもオンプレミス型は平均で数ヶ月~半年程度、クラウド型では数週間となっています。
自社環境との親和性
製品により対応するOSは異なります。また、運用形態もEDR用のサーバーを自社内に設置するか、社外の専用サーバーやクラウドサーバーを利用するかなどで異なります。比較選定の際は、自社環境に合わせた製品を選定しましょう。また、導入済みのセキュリティ製品との親和性を考慮すれば、導入コストを抑えることも可能でしょう。
運用へのサポート
前述のとおりEDRの保守・運用にはそれなりのノウハウが必要です。保守・運用を自社のスタッフで行うか、外部に委託するかは製品を比較選定する際の大きなポイントとなります。また、24時間 / 365日の問い合わせ対応が可能かなど、万一の場合のサポート体制についても確認しておきましょう。
EDR導入時には注意が必要
今やEDRの導入は必須となりつつありますが、導入に際してはいくつかの注意点があります。
コスト面での負担が大きい
EDRの導入には通常エンドポイント台数に応じたコスト(数百円~数万円)がかかります。特にエンドポイントの数が多い場合などでは、導入前に費用対効果について事前に十分な検討を行う必要があります。
運用リソースが必要
EDRを適切に保守し運用するにはそれなりの専門知識や経験、スキルが必要です。自社で専門のスタッフを設けることが難しい場合は、保守・運用を外部に委託したり、SOC(Security Operation Center)サービスを契約したりすることになりますので、追加で費用が発生します。セキュリティ対策は導入することよりも、運用こそが重要となります。
侵入を未然に防ぐことができない
EDRはエンドポイントを監視・保護するソリューションですが、マルウェアなどの侵入そのものを防ぐことはできません。そのため、外部からの攻撃を未然に防ぐにはEPPやゲートウェイセキュリティなど侵入を防止するサービスを組み合わせ、多層防御することで、より強固なセキュリティを維持することができます。
NTTPCコミュニケーションズの「Secure Access Gateway」でゼロトラストセキュリティを実現
NTTPCの「Secure Access Gateway」は、初期料金0円で導入可能なEDRサービスです。ネットワーク機能とセキュリティ機能とを合わせて提供するSASE形態のため、管理負担を軽減しながら快適・安全なインターネット接続環境を構築できます。また、月額料金のため、社員数の増減にも柔軟に対応することができます。
「DNSセキュリティ」や「セキュアWebゲートウェイ」などのセキュリティ機能に加え、サポートの充実も「Secure Access Gateway」の強みの1つ。ご興味がおありの方は是非お気軽にお問い合わせください。
EDR、EPPとNGAV、DLP、NDR、XDRの関係性
EPP、EDRと関連するセキュリティ技術として、「NGAV」、「DLP」、「NDR」、「XDR」などがあります。
目的や範囲が少しずつ異なります、違いと関係性をわかりやすくまとめました。
NGAV(Next Generation Anti-Virus:次世代型アンチウイルス)
NGAVはEPPの一種です。従来のEPPは登録された既知のウイルスのパターンを照合してウイルスを認識するため、未知のウイルスには対応できませんでした。しかし、NGAVには振る舞い検知や機械学習といった技術を用いてウイルス特有の挙動を検知するという従来のEPPとは異なる特長があり、未知のウイルスにも対応できます。NGAVは「未知脅威の検知能力」が高く、EPPは「総合防御力」に優れています。
DLP(Data Loss Prevention)
DLPは情報漏えいを防ぐためのセキュリティシステムです。従来の情報漏えい対策はIDやパスワードによりユーザーの監視を行うのに対して、DLPでは個人情報などの機密データそのものを監視し防御します。
EDR/EPPも同様に情報漏えいを防ぐ働きを持ちますが、EPP/EDRが攻撃による情報漏えいを防ぐ一方、DLPは情報を保護し漏えいを防ぐという違いがあります。
NDR(Network Detection and Response)
NDRはネットワークのトラフィックを収集・監視することによって異常を検知するシステムです。リアルタイムに異常を検知することができるため、迅速な対応をとることが可能です。EDR/EPPとNDRはどちらもマルウェアの感染拡大や情報漏えいの被害を最小限に抑える働きを持ちますが、EDR/EPPがエンドポイントを監視する一方、NDRはネットワークを監視するという違いがあります。
XDR(Extended Detection and Response)
XDRはエンドポイントやネットワーク、クラウド、アプリケーションの情報を収集・分析し、全体のリスクを可視化することで迅速な対応を可能にする働きを持ちます。「X」は「拡張(extended)」を意味し、EDRやNDRの手法を発展させたものという位置づけとなります。
まとめ
今回はEDRがPC /サーバーなどのエンドポイントを監視・保護するセキュリティ製品であること、エンドポイントにクライアントソフトウェアをインストールして情報収集を行いサーバー上で監視・分析を行う仕組みであることなどについて解説しました。
現在、AIを悪用することでネットワークの知識がなくてもランサムウェア攻撃を実行できてしまうことが知られています。また、テレワークやハイブリッドワークなど、多様な働き方に対応する必要もあります。こうしたニーズから、今やEDRの導入は必須となりつつあります。導入に際しては検知精度や機能、導入・運用コスト、自社製品との親和性、運用へのサポートなどを考慮し、自社に最適なソリューションを選択しましょう。
コスト面や運用リソース面の負担を考慮すると、クラウド型のEDRの導入は有力な選択肢となるでしょう。導入を検討する際には、今回ご紹介したNTTPCの「Secure Access Gateway」も是非候補の1つに加えてみてください。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
