EDRとは?EPPとの違いや機能の仕組みと必要性・メリットを解説!
EDRとは、マルウェアの感染や不正アクセスに対して、検知、駆除、復旧を行う製品です。感染や不正アクセスされた後の対策機能を提供します。サイバー攻撃の進化により、従来のセキュリティでは自社を守り切れなくなり、生み出されたセキュリティ製品がEDRです。
EDRとは、マルウェアの感染や不正アクセスに対して、検知、駆除、復旧を行う製品です。感染や不正アクセスされた後の対策機能を提供します。サイバー攻撃の進化により、従来のセキュリティでは自社を守り切れなくなり、生み出されたセキュリティ製品がEDRです。
EDR (Endpoint Detection and Response)とは、マルウェアの感染や不正アクセスされた後に、検知、影響範囲調査、駆除、復旧といった機能を提供する製品です。近年のAI・テクノロジーの進化にともない、サイバー攻撃も進化しています。もはや、自社を水際で脅威から守り切るのは非常に困難です。そこで、感染や不正アクセスされることを前提としたセキュリティ対策として広まったのがEDRです。
セキュリティ意識の向上にともない、EDRを採用している企業は増加しています。この記事ではEDRを導入するにあたり、知っておくべき仕組みや機能、メリットなどを見ていきましょう。
EDRは感染や不正アクセスを前提とした製品です。仕組みとしては、エージェントと呼ばれる監視プログラムをインストールするところから始まります。主な流れは以下の通りです。
管理者への通報後、管理者によって脅威の駆除、復旧といったインシデント対応が行われます。EDR製品によっては、エージェントが当該エンドポイントの通信を遮断したり、自動的に脅威を駆除したりするものもあります。
EDRの機能は、多岐にわたります。主な機能は以下の通りです。
機能 | 内容 |
---|---|
常時監視 | エンドポイントの監視 |
ログ収集 | エンドポイントの挙動や通信のログを収集し、管理サーバへ送信 |
攻撃検知 | ログを分析し、攻撃の予兆を検知 |
通報 | 管理者へ攻撃を通報 |
インシデント対応 | エンドポイントの隔離 脅威の駆除 システムの復旧 |
原因分析 | インシデントの原因を分析 管理者へフィードバック 脅威インテリジェンスの統合 |
脅威インテリジェンスの統合とは、インシデントで得た原因や攻撃の予兆をEDRにフィードバックし、エンドポイントのセキュリティ対策に組み込むことです。脅威インテリジェンスをインターネット全体で統合し、EDRの検知機能やインシデント対応機能に反映します。つまり、サイバー攻撃が進化しても、EDRも継続的に進化し、未知の脅威にも対応できるようになります。
EPP (Endpoint Protection Platform) とは、マルウェアの感染や、外部からの不正アクセスを防止するための基盤です。従来のウィルス対策ソフトもEPPの1つになります。EPPにはウィルス対策ソフトの他に、次のようなものがあります。
また、従来のパターンマッチングでマルウェアを検知するウィルス対策ソフトに、AIによる学習機能や、振る舞い検知機能を付け加えた、NGAV (Next Generation Anti Virus) という製品も登場しています。
機能 | 説明 |
---|---|
ファイアウォール | 不正アクセスをブロックする機能 |
侵入検知システム(IDS/IPS) | 不正な侵入や活動を検知し、通知もしくは防止する機能 |
ネットワーク機器 | ホワイトリストやブラックリストで通信先を絞り込む機能 |
無害化装置 | 悪意のあるコードやファイルを取り除く機能 |
サンドボックス装置 | 仮想環境でプログラムを実行し、脅威がないか監視する機能 |
EDRがマルウェアや不正アクセスを受けた後の対応を行う製品であるのに対し、EPPはマルウェアや不正アクセスを受けないように防御する製品です。よって、自社を守る場合にはEPPで感染を防止しつつ、感染した場合はEDRで対処するといった切り分けになります。
EPPとEDRでは、脅威から防衛する範囲が異なります。EPPでは予防を前提としているため、各EPP製品の監視と不審な挙動がないか確認が主な運用になります。EPPの主な運用は以下の通りです。
一方、EDRでは感染や不正アクセスを前提としているため、感染後の監視が主な運用になります。EDRの主な運用は以下の通りです。
EDRの運用でのポイントは、インシデントの分析結果をEPPに反映することです。EPPへ反映する効果として、次回に同じ攻撃を受けるとEPPでブロックします。これにより、全体的なセキュリティが進化していきます。
EPPとEDRでは、脅威から防衛する範囲が異なるため、提供機能にも違いがあります。EPPの提供機能としては、主に以下があります。
一方、EDRの提供機能としては、感染後に利用する機能が中心となります。
EPPとEDRでは、脅威から防衛する範囲が異なります。EPPだけでは感染や不正アクセスにより、突破された場合に対応するすべがありません。同じく、EDRだけでは感染や不正アクセスを受ける件数が多くなり、リソースを消費します。
よって、EDRとEPPを共に導入するのが適切です。EPPでマルウェアや不正アクセスをブロックしつつ、ブロックが漏れた脅威をEDRで検知、駆除、復旧するという2段構えのセキュリティを構築できます。更に、EDRが分析結果をEPPにフィードバックし、より強固なセキュリティとなる相乗効果も期待できます。
近年のサイバー攻撃の凶悪化、従来型のセキュリティ対策の限界、リモートワークを代表とする外部インターネットの活用といった外部要因が変化しています。セキュリティを取り巻く環境は大きく変わっており、感染や不正アクセスにより深刻な被害を受ける前に対処する必要性がでてきました。この必要性により生み出されたのがEDRです。
必要性の1つとして、サイバー攻撃の凶悪化が挙げられます。近年のサイバー攻撃は、総務省によると、2022年は2015年と比較し8.3倍に増加しました。また、2022年に観測されたサイバー攻撃関連通信数は、各IPアドレスに対して17秒に1回攻撃関連通信が行われています。更に、AIやテクノロジーの進化により、サイバー攻撃は凶悪化の一途をたどっています。そのため、従来のセキュリティ対策では防ぎきれなくなっているのが実情です。
必要性の2つ目として、セキュリティ対策の変化が挙げられます。従来のセキュリティは、外部からの不正アクセスや、マルウェアのダウンロードに対してウィルス対策ソフトやファイアウォールによる防御が中心でした。
近年はさまざまなクラウドサービスを積極的に利用するようになっています。また、社内のモバイル端末を外部へ持ち出し、外部から社内にアクセスするといった使い方も増えています。ブロックするもの、透過させるものを識別することが困難になりつつあり、セキュリティ対策も変化が求められるようになりました。
必要性の3つ目は、リモートワークの浸透が挙げられます。リモートワークの浸透により、社員が外部から社内にアクセスする機会が増えました。外部のネットワークは、公共のフリーWifiや社員自宅のWifiを使う場合もあり、盗聴や改ざん、機器の脆弱性を完全に排除できません。
社員が利用するパソコンも、ウィルス対策ソフト等のセキュリティをチェックできないため、マルウェアへの感染や不正アクセスを前提としたセキュリティ対策が求められるようになりました。
今までのセキュリティ対策では、EPPにより自社内に感染や不正アクセスされる前にブロックしていました。そのため、フィードバックできる情報は、外部からの通信内容やマルウェアのパターンといった一部に限られています。EDRの導入により、今までに入手できなかった攻撃のパターンや、不審な振る舞いを入手し、自社のセキュリティ対策に活用できる効果とメリットがあります。
メリットの1つは、脅威の早期発見と迅速な対応ができる点です。EDRはエンドポイントのログを管理サーバに集約、分析し、脅威を早期発見します。EDRは、脅威の早期発見後に被害範囲の特定、脅威の隔離、脅威の駆除、エンドポイントの復旧まで対応します。EPPでは対応していない、被害範囲の特定やエンドポイントの復旧まで迅速に対応できる点がメリットです。
メリットの2つ目は高度な脅威にも対応できる点です。EDRは、エンドポイントから集約したログを分析し、脅威インテリジェンスの統合によりインターネット上で脅威を共有しています。そのため、新たな脅威が発生しても、すぐに攻撃パターンの検知が可能です。また、EDRは、未知の攻撃であっても、振る舞いのパターンにより検知できます。以上の理由により、高度な脅威にも対応できる効果があります。
メリットの3つ目は、リアルタイムに監視の可視化ができる点です。EDRはエンドポイントのログを集約し、関連付けて可視化できます。例えば、あるエンドポイントがマルウェアに感染した場合、ネットワーク上にある他のエンドポイントへ拡散していく状態を一目で確認可能です。
その他、通常使われていない時間帯に大量のデータが送信されるといった行動を可視化して、管理者に通報します。脅威を可視化することで、より効果ある管理が可能です。
メリットの4つ目は、リモート環境に適応できる点です。リモート環境は利用している通信や、エンドポイントを指定できません。そのため、リモート先のエンドポイントに、エージェントをインストールし、EDRの監視下に置きます。EDRは、管理サーバが検知や分析を請け負うため、社内と同等のセキュリティを確保できます。また、EDRによっては、感染後にエンドポイントをネットワークから隔離するものもあります。
EDRを選ぶポイントとして、自社が持っているEPPの状態、自社のセキュリティに対する人員や体制といった要件を考慮し、総合的なセキュリティ対策を考える必要があります。ここでは、EDRを選ぶ際に考慮すべきポイントを紹介します。
EDRを選ぶ際に、エンドポイントセキュリティ全体のカバーができているかを考慮する必要があります。例えば、エンドポイントセキュリティとして、マルウェアからの防御の他にも、管理すべき項目があります。既にEPPとして、USB等の媒体の管理やエンドポイントのパッチ適用状況を把握している場合、EDRとして同じ機能を持つ必要はありません。EDR導入による効果を考慮し、あくまでもセキュリティとしてどこまで防御するのかを整理したうえで、全体をカバーできるようにEDRを選ぶ必要があります。
EDRは管理サーバがエンドポイントから集約したログを分析し、攻撃を検知します。管理サーバをクラウド上に配置するのか、自社ネットワーク内に配置するのか、考慮する必要があります。管理サーバをクラウド上に配置した場合、クラウドの提供ベンダーが設備をメンテナンスするため、一般的に障害には強固です。ただし、外部とのネットワークが遮断された場合は、EDRによる防御ができないデメリットがあります。
一方、自社ネットワーク内に配置した場合、外部とのインターネット通信が遮断されても、自社内で機能できるメリットがあります。ただし、管理サーバの故障に対して、保守契約を結ぶなどの対策を講じる必要性が高くなります。
それぞれ一長一短あるため、自社の状況を考慮して管理サーバの配置を決定しましょう。
サイバー攻撃はますます進化し、脅威が増しています。攻撃の検知能力を上げるために、EDRセキュリティベンダーの脅威インテリジェンスを活用する必要性が高くなっています。グローバルレベルの脅威インテリジェンスを持つ、信用できるEDRセキュリティベンダーの選定が重要です。
EDRの最も重要な点は、未知のマルウェアといった高度な攻撃の検知です。サイバー攻撃の進化により、攻撃単体の検知だけではすべてを防御できません。攻撃者が良く使う、攻撃の「パターン」を検知する必要性が高まっています。より多くの「パターン」を学習した、EDRを選びましょう。
EDRを選ぶ際に、サポートの質を考慮する必要があります。EDRは攻撃に対する検知や、駆除、復旧といったセキュリティ製品です。EDRを運用するためには、脆弱性情報、脆弱性の解決方法、実行された攻撃内容といった専門的な知識が必要となります。EDRの機能だけでなく、サポートの質が良く、信用のあるEDRセキュリティベンダーを選ぶ必要性が高まっています。また、サポートの質が良いことで、自社のセキュリティ知見も向上する効果も見込めます。
EDRを選ぶ際に、対応OSを考慮する必要があります。近年のEDRは、一般的なOSをほぼサポートしていますが、自社が特殊なOSを利用している場合は対応しているか確認が必要です。今後、利用する可能性があるOSまで対応するかを検討したうえで、EDRを選びましょう。
EDRを選ぶ際に、第三者機関による評価の確認を行う必要性が高まっています。EDRのメーカ資料は、自社製品の優位性だけを宣伝する場合が多く、どの製品が自社にふさわしいのかわかりません。中立な立場の第三者機関が行った機能評価を参考にして、自社に最もふさわしい製品を選びましょう。
EDR製品の中には、攻撃を検知した後の駆除、隔離、復旧を自動化、もしくは効率化できる製品があります。調査作業を支援する機能が充実すれば、運用面の負担を軽減する効果も期待できます。企業のリソース不足により、調査作業を支援する機能の必要性が高まっています。自社の人員や体制を考慮した上で、どこまで調査作業を支援する機能を持つ製品を選ぶか、検討が必要です。
また、SOC(Security Operation Center)と呼ばれる、検知後の対応を24時間365日で対応する組織の立ち上げも有効です。
EDRを選ぶポイントとして、導入の容易さを考慮する必要があります。特にエンドポイントにエージェントをインストールする際は、自動的なインストールや、簡単なインストールができれば、問い合わせが少なくなり、運用面の負担を軽減する効果も期待できます。
インストールが複雑な場合、インストールを誤ったり、インストールされなかったりして正常な運用が妨げられ危険です。そのため、導入の容易さは必要性が高いといえます。
EDRを選ぶポイントとして、ネットワークへの負荷を考慮する必要があります。EDRはエージェントからのログ収集が、攻撃を検知するために必要です。EDRの導入によりネットワークのトラフィックが増大し、帯域が足りなくなると攻撃の検知が遅れる恐れがあります。そのため、ネットワークを増強する必要性が高まります。予想トラフィック量を計算し、必要に応じてネットワークを増強しましょう。
EDRは分析処理の精度が最も重要です。EDRはエージェントからのログを分析して攻撃を検知します。よって、分析処理の精度が高いほど、高いセキュリティとなります。エンドポイント間のログを関連付けて分析したり、外部の脅威インテリジェンスを利用したりして、より高度な分析能力を持ったEDRを選びましょう。
EDRを選ぶポイントとして、他のセキュリティとの相性を考慮する必要があります。リモートワークが一般的になり、外部から社内へのアクセスが当たり前になりました。外部からのアクセスを、クラウドプロキシ等を利用してセキュリティを向上させる必要性が高まっています。これらのセキュリティソリューションを組み合わせる場合、相性が悪いと通信ができません。事前に相性の確認が必要です。
EDRを選ぶポイントとして、マネージドサービスの範囲を確認する必要があります。人員不足などの要因で、EDRで攻撃を検知した後の対応ができない場合があります。この場合、MDR(Managed Detection and Response)の利用も考慮が必要です。MDRとは、外部の専門家による、脅威の監視、対応サービスを24時間365日提供するサービスです。サイバー攻撃の凶悪化により、MDRの必要性も高まっています。自社の人員や体制、予算を考慮してMDRを導入を検討しても良いでしょう。
EDRを選ぶポイントとして、リスクスコアの定量化ができるか確認する必要があります。EDRが攻撃を検知し対応するときに、優先順位をつけなければなりません。この優先順位付けをリスクスコアの定量化と呼びます。脅威度、影響範囲を考慮し定量化してスコアを算出すると、優先順位がわかり対処しやすくなります。リスクスコアの定量化も、運用する上で必要性が高まっています。リスクスコアの定量化ができるEDR製品を選ぶとよいでしょう。
EDRは安価な製品ではありません。現時点でのセキュリティを考慮し、より効果やメリットがある適切なEDRを選ぶ必要性が高まっています。ここでは、EDRを導入する際のコストについて説明します。
EDRの導入費用については、セキュリティレベルとコストのバランスが重要です。また、導入以降の運用においても、利用料や保守費用といったコストがかかります。EDR製品が良くても、サポート体制に不備があれば、メリットや効果が望めません。
運用は自社で行うか、MDRを導入するかといった検討も必要です。また、MDRを導入する際も、MDRのサポート要員が十分確保されているか、品質はどうかを評価しなければ、メリットや効果がない場合もあります。
まずは、自社のセキュリティ全体の要件を確認し、見積を取った上での比較・検討をおすすめします。
EDRの導入まで期間については、一般的に導入する拠点やエンドポイントの台数が多いほど長くなります。一方でEDRの稼働が早いほど、セキュリティへのメリットや効果が高くなります。そのため、拠点ごとに導入時期をずらして、段階的に導入する方法も有効です。
導入ベンダーと打ち合わせをして、無理がないスケジュールを組むことが重要です。
サイバー攻撃の脅威が増す中、セキュリティの確保は企業として重要な課題です。EPPだけでは攻撃を防げないという認識が広がり、EDRを導入する企業は増えています。EDRの運用が難しければ、MDRまで導入し専門家による支援を受けるとよいでしょう。
EDRだけでなく、EPPやクラウドプロキシといったセキュリティソリューションを多層に組み合わせて、サイバー攻撃を防ぎましょう。
コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。
クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。
サイバーセキュリティ
マクロウイルスは、ビジネスに不可欠な「マイクロソフトオフィス」製品のマクロ機能を悪用するマルウェアの一種です。ここでは、マクロウイルスの特徴と感染経路や、具体的な種類と被害例、詳しい対策方法について解説します。感染の仕組みを理解して対策を講じましょう。
サイバーセキュリティ
サイバー攻撃とは、サーバやパソコンなどの機器に対して不正アクセスや情報窃取、破壊活動などを行う攻撃の総称です。近年はサイバー攻撃が高度化し、どんな組織もサイバー攻撃にあうリスクがあります。本記事では、サイバー攻撃の種類や手口、被害事例について詳しく解説します。
サイバーセキュリティ
本記事ではVPNのセキュリティについて解説しています。安全性と危険性、仕組み、メリット、さらにはリスクまで詳しく説明しています。最後まで読むと、VPNのセキュリティをよく理解できますので、企業のセキュリティ対策に役立ててください。
サイバーセキュリティ
本記事ではネットワークセキュリティについて解説しています。ネットワークセキュリティのリスクや事例、必要な対策を詳しく説明しています。企業に欠かせないセキュリティ対策がよく理解できますので、最後まで読んで参考にしてください。
サイバーセキュリティ
この記事では、マルウェアの定義、脅威、感染経路、予防対策、感染後の対処法について解説しています。マルウェアはウイルス、トロイの木馬、スパイウェアなどを含み、個人情報の盗難やシステム破壊を目的としています。感染経路は多岐にわたり、予防にはソフトウェアの更新、セキュリティソフトの導入、不審なメールの回避などが必要です。感染後はネットワークの遮断とマルウェアの駆除、データの復旧などが重要です。
サイバーセキュリティ
ランサムウェアとは身代金要求型のウイルスのことを指し、世界中で深刻な被害をもたらしています。その攻撃手口も巧妙化しており包括的なセキュリティ対策が求められます。この記事では、身代金要求型不正プログラムといわれるランサムウェアの概要、感染経路、手口や対策を詳しく説明します。
サイバーセキュリティ
ランサムウェアの基礎知識と感染による被害、感染経路や予防策、感染したら行う対処法と禁止事項を具体的に解説します。ランサムウェアに感染したら被る金銭被害や業務停止、情報漏えいなどのリスクを回避するために必要なセキュリティ対策や教育など役立つ情報を提供します。
サイバーセキュリティ
ランサムウェアはマルウェアの一種であり、近年、ランサムウェアを含むマルウェアの被害が増加しています。企業や組織をマルウェアから守るためには、その特徴や対策を正しく理解することが重要です。 そこで本記事では、それぞれの違いや特徴、感染経路、対策を解説します。
サイバーセキュリティ
ソーシャルエンジニアリングとは、人間の心理的な隙を突くサイバー攻撃です。本記事ではソーシャルエンジニアリングの特徴や手口について解説します。実際に起きた事例も紹介するので、ソーシャルエンジニアリングの対策に役立ててください。
サイバーセキュリティ
ホワイトリストとは、安全と評価したWebサイトやIPアドレス等を定義したリストです。ホワイトリストに登録しているアプリケーションや通信のみ実行を許可します。ホワイトリストに登録していないものは全てブロックするため、高いレベルのセキュリティ対策となります。
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
サイバーセキュリティ
PMO
PMO
PMO
PMO
PMO
PMO
PMO
PMO
PMO
サイバーセキュリティ