EPP・EDRとは?エンドポイント対策の必要性や仕組みについて解説
パソコンやサーバー、スマートフォンなどのエンドポイント端末を監視・保護する働きを持つEDR(Endpoint Detection and Response)。今回はEDRの仕組み・機能について解説するとともに、導入時のメリット・デメリットなどについて説明します。
- 目次
EDRとは?
「EDR(Endpoint Detection and Response:エンドポイント検出対応)」は、ITアドバイザリ会社である米国Gartner(ガートナー)社のAnton Chuvakin氏が2013年に提唱したコンセプトで、ネットワークに接続されたパソコンやサーバー、スマートフォンなどの「エンドポイント(末端)」の機器の挙動を監視し、脅威を検知・対処する仕組み・ツールを指します。
近年ではテレワーク・リモートワークの普及により、ネットワークの社内・社外を区別せず、全ての通信を信頼しないことを前提とし、通信を等しく疑って監視するという「ゼロトラスト」のセキュリティモデルの考え方に則り、エンドポイント端末のセキュリティ対策として注目されています。
EDRの仕組み・機能
EDRでは、まずエンドポイントの各機器に「エージェントソフトウェア」と呼ばれる情報収集ソフトウェアをインストールします。エージェントソフトウェアはエンドポイントの使用状況や通信内容などの情報をリアルタイムで収集し、サーバーへと送信します。そしてサーバーではエンドポイントからの情報をログデータとして蓄積するとともに、不審な挙動はないか、攻撃を受けていないかなどについて分析が行われるという仕組みです。EDRはログの蓄積機能のほか、分析結果をネットワーク管理者に通知する機能、適切な対応を自動で行う機能なども備えています。
EPPとEDRの違い
「EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)」は、従来型のアンチウイルスソフトウェアなど、エンドポイントにインストールすることでエンドポイントを保護するセキュリティプラットフォームの総称です。
EPPは主にデバイスへのマルウェアの侵入を未然に防止する働きを持つ製品を指し、EDRは主に侵入された後にいち早く検知・分析し、マルウェアの封じ込め、システム復旧などをサポートする働きを持つという違いがあります。簡単に言えば、マルウェア感染前に働くものがEPP、感染後に被害を最小限に抑えるものがEDRと言えるでしょう。
EPP、EDRと関連する用語として、「NGAV」、「DLP」、「NDR」、「XDR」があります。次にそれぞれの用語について軽く紹介します。
NGAV(Next Generation Anti-Virus:次世代型アンチウイルス)
NGAVはEPPの一種です。従来のアンチウイルスソフトウェアでは登録された既知のウイルスのパターンを照合してウイルスを認識するため、未知のウイルスには対応できませんでしたが、NGAVでは振る舞い検知や機会学習といった技術を用いてウイルス特有の挙動を検知できるため、未知のウイルスにも対応できるという特長があります。
DLP(Data Loss Prevention)
DLPは情報漏洩を防ぐためのセキュリティシステムです。従来の情報漏洩対策はIDやパスワードを管理し、ユーザー監視を行うのに対して、個人情報などの機密データそのものを監視し防御します。
NDR(Network Detection and Response)
NDRはネットワークのトラフィックを収集・監視することによって異常を検知するシステムです。リアルタイムに異常を検知することができるため、迅速な対応をとることでマルウェアなどの感染拡大や情報漏洩の被害を最小限に抑えることができます。
XDR(Extended Detection and Response)
XDRはエンドポイントやネットワーク、クラウド、アプリケーションの情報を収集・分析し、全体のリスクを可視化し迅速な対応を可能とします。「X」は「拡張」を意味し、EDRやNDRの手法を発展させたものです。
EDRの必要性
NGAVなどをはじめ、EPPの技術も日々進化しています。しかし、現状ではマルウェアなどの侵入を100%防ぐことは不可能と言わざるを得ません。そこで、万一侵入された場合の対策としてEDRが必要となるわけです。EDRを導入すれば、マルウェア感染による個人情報の流出やデータの改ざんといった被害を最小限に留めることができます。
ただし、EDR単独ではすべての脅威に対応することはできませんから、EPPなどその他のセキュリティ対策ソリューションを組み合わせて使用する必要があります。
エンドポイントセキュリティとゲートウェイセキュリティの違い
「ゲートウェイセキュリティ」は、自社ネットワークを外部からの不正アクセスなどから保護する仕組みを指し、ファイアウォール、IDS /IPS、UTMなどが含まれます。自社ネットワークと外部ネットワークとの接続境界(Gateway)に設置して自社ネットワークを防ぐ働きがあります。
ゲートウェイセキュリティとエンドポイントセキュリティとを組み合わせることにより、それぞれで防ぐことができない脅威を多層防御で補い防ぐことができます。
EDRのメリット
次にEDRを導入するメリットについて説明します。
脅威を早期に発見
EDRの最大のメリットは、「リアルタイムで監視している」点にあります。EPPをすり抜けたマルウェアを早期に検出・分析し、被害が拡大する前に必要な対策を実施することができます。
テレワークへの対策
テレワークにより社内 / 社外の区別があいまいになり、エンドポイント端末のリスクが増加しています。そのため、EDRがより注目されており、エンドポイントのセキュリティ対策として欠かせないものになってきています。
被害の詳細を把握
エージェントが収集した情報はサーバー上にログとして蓄積されています。対策後、ログを解析することにより、攻撃の手口や被害範囲などを詳細に把握したうえで、十分な対策を練ることができます。
EDRのデメリット
EDRの導入の際にはデメリットもあります。
コスト面での負担が大きい
EDRの導入には通常エンドポイント台数に応じたコスト(数百円~数万円)がかかります。特にエンドポイントの数が多い場合などでは、導入前に費用対効果について事前に十分な検討を行う必要があります。
運用リソースが必要
EDRを適切に保守し運用するにはそれなりの専門知識や経験、スキルが必要です。自社で専門のスタッフを設けることが難しい場合は、保守・運用を外部に委託したり、SOCサービスを契約することになりますので、追加で費用が発生します。セキュリティ対策は導入することよりも、運用こそが重要となります。
侵入を未然に防ぐことができない
EDRはエンドポイントを監視・保護するソリューションですが、マルウェアなどの侵入そのものを防ぐことはできません。そのため、外部からの攻撃を未然に防ぐにはEPPやゲートウェイセキュリティなど侵入を防止するサービスも併せて使用する必要があります。
NTTPCコミュニケーションズの「Secure Access Gateway」でゼロトラストセキュリティを実現
NTTPCの「Secure Access Gateway」は、初期料金0円で導入可能なネットワーク×セキュリティサービスです。ネットワーク機能とセキュリティ機能とを合わせて提供することで、管理負担を軽減しながら快適なインターネット接続環境を構築できます。また、年額ではなく月額料金体系を採用しているため、社員数の増減にも柔軟に対応でき、コストを最適化することができます。
テレワークの普及にともない、今やエンドポイント(PCやモバイル端末など)は職場以外の場所にも存在しています。ゼロトラスト・SASEのコンセプトにもとづいた「Secure Access Gateway」であれば、簡単に導入・運用でき、端末のセキュリティを向上させることができます。
「DNSセキュリティ」は、DNSの名前解決を利用してユーザーをインターネット上の脅威から防御するシステムです。オフィス内、自宅・外出先など場所を問わず、フィッシングサイトなどの有害サイトへのアクセス、マルウェアなどへの感染を防ぎます。また、ブロック状況はWebおよびメールで可視化できるため迅速な対策も可能です。
「セキュアWebゲートウェイ」は、端末にエージェントソフトをインストールし、クラウド上のセキュアWebゲートウェイを経由させることで、場所を問わず安全にインターネットを利用することができるサービスです。許可されたクラウドサービスのみ利用可能とするなど細やかなアクセス制御を行ったり、危険なサイトやマルウェアをブロックしたりすることができます。
これらの端末に対するセキュリティ機能に加え、サポートの充実も「Secure Access Gateway」の強みの1つ。ご興味がおありの方は是非お気軽にお問い合わせください。
EDR製品を導入する際の比較選定ポイント
現在、さまざまなEDR製品が登場しています。その中から自社に最適なソリューションを選択し導入する際の比較選定ポイントについてまとめます。
検知精度、機能
検知に使用されるアルゴリズムは製品により異なるため、当然検知精度にも違いが出てきます。AIや機械学習などを応用した製品も登場していますので、なるべく検知精度の高いものを選択しましょう。また、脅威検出時の動作やログ保存の方法など、提供される機能についても比較検討しましょう。
自社環境との親和性
製品により対応するOSは異なります。また、運用形態もEDR用のサーバーを自社内に設置するか、社外の専用サーバーやクラウドサーバーを利用するかなどで異なります。比較選定の際は、自社環境に合わせた製品を選定しましょう。また、導入済のセキュリティ製品との親和性を考慮すれば、導入コストを抑えることも可能でしょう。
運用へのサポート
前述のとおりEDRの保守・運用にはそれなりのノウハウが必要です。保守・運用を自社のスタッフで行うか、外部に委託するかは製品を比較選定の際の大きなポイントとなります。また、24時間 / 365日の問い合わせ対応が可能かなど、万一の場合のサポート体制についても確認しておきましょう。
まとめ
今回はEDRがPC / サーバーなどのエンドポイントを監視・保護するセキュリティ製品であること、エンドポイントにクライアントソフトウェアをインストールして情報収集を行いサーバー上で監視・分析を行う仕組みであること、エンドポイント対策の必要性などについて説明しました。
EDRにはエンドポイントへの脅威を早期に発見し対策できるというメリットがある一方で、コスト面や運営面などでデメリットも存在します。もし自社にとってEDRの導入が必要だとお感じになった場合には、本コラムで紹介した比較選定ポイントなどを参考に、自社に最適なEDR製品を選択してみてはいかがでしょうか。
最後に、EDRは有効なセキュリティ対策の一つではありますが、それだけで対策が万全なわけではありませんので、EPPやゲートウェイセキュリティなど多層防御の観点でセキュリティ対策を実施することが重要になります。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
