EDR (Endpoint Detection and Response）とは、マルウェアの感染や不正アクセスされた後に、検知、影響範囲調査、駆除、復旧といった機能を提供する製品です。近年のAI・テクノロジーの進化にともない、サイバー攻撃も進化しています。もはや、自社を水際で脅威から守り切るのは非常に困難です。そこで、感染や不正アクセスされることを前提としたセキュリティ対策として広まったのがEDRです。

セキュリティ意識の向上にともない、EDRを採用している企業は増加しています。この記事ではEDRを導入するにあたり、知っておくべき仕組みや機能、メリットなどを見ていきましょう。

EDRは感染や不正アクセスを前提とした製品です。仕組みとしては、エージェントと呼ばれる監視プログラムをインストールするところから始まります。主な流れは以下の通りです。

管理者への通報後、管理者によって脅威の駆除、復旧といったインシデント対応が行われます。EDR製品によっては、エージェントが当該エンドポイントの通信を遮断したり、自動的に脅威を駆除したりするものもあります。

EDRの機能は、多岐にわたります。主な機能は以下の通りです。

脅威インテリジェンスの統合とは、インシデントで得た原因や攻撃の予兆をEDRにフィードバックし、エンドポイントのセキュリティ対策に組み込むことです。脅威インテリジェンスをインターネット全体で統合し、EDRの検知機能やインシデント対応機能に反映します。つまり、サイバー攻撃が進化しても、EDRも継続的に進化し、未知の脅威にも対応できるようになります。

EPP (Endpoint Protection Platform) とは、マルウェアの感染や、外部からの不正アクセスを防止するための基盤です。従来のウィルス対策ソフトもEPPの１つになります。EPPにはウィルス対策ソフトの他に、次のようなものがあります。

また、従来のパターンマッチングでマルウェアを検知するウィルス対策ソフトに、AIによる学習機能や、振る舞い検知機能を付け加えた、NGAV (Next Generation Anti Virus) という製品も登場しています。

EDRがマルウェアや不正アクセスを受けた後の対応を行う製品であるのに対し、EPPはマルウェアや不正アクセスを受けないように防御する製品です。よって、自社を守る場合にはEPPで感染を防止しつつ、感染した場合はEDRで対処するといった切り分けになります。

EPPとEDRでは、脅威から防衛する範囲が異なります。EPPでは予防を前提としているため、各EPP製品の監視と不審な挙動がないか確認が主な運用になります。EPPの主な運用は以下の通りです。

一方、EDRでは感染や不正アクセスを前提としているため、感染後の監視が主な運用になります。EDRの主な運用は以下の通りです。

EDRの運用でのポイントは、インシデントの分析結果をEPPに反映することです。EPPへ反映する効果として、次回に同じ攻撃を受けるとEPPでブロックします。これにより、全体的なセキュリティが進化していきます。

EPPとEDRでは、脅威から防衛する範囲が異なるため、提供機能にも違いがあります。EPPの提供機能としては、主に以下があります。

一方、EDRの提供機能としては、感染後に利用する機能が中心となります。

EPPとEDRでは、脅威から防衛する範囲が異なります。EPPだけでは感染や不正アクセスにより、突破された場合に対応するすべがありません。同じく、EDRだけでは感染や不正アクセスを受ける件数が多くなり、リソースを消費します。

よって、EDRとEPPを共に導入するのが適切です。EPPでマルウェアや不正アクセスをブロックしつつ、ブロックが漏れた脅威をEDRで検知、駆除、復旧するという2段構えのセキュリティを構築できます。更に、EDRが分析結果をEPPにフィードバックし、より強固なセキュリティとなる相乗効果も期待できます。

近年のサイバー攻撃の凶悪化、従来型のセキュリティ対策の限界、リモートワークを代表とする外部インターネットの活用といった外部要因が変化しています。セキュリティを取り巻く環境は大きく変わっており、感染や不正アクセスにより深刻な被害を受ける前に対処する必要性がでてきました。この必要性により生み出されたのがEDRです。

必要性の1つとして、サイバー攻撃の凶悪化が挙げられます。近年のサイバー攻撃は、総務省によると、2022年は2015年と比較し8.3倍に増加しました。また、2022年に観測されたサイバー攻撃関連通信数は、各IPアドレスに対して17秒に1回攻撃関連通信が行われています。更に、AIやテクノロジーの進化により、サイバー攻撃は凶悪化の一途をたどっています。そのため、従来のセキュリティ対策では防ぎきれなくなっているのが実情です。

必要性の2つ目として、セキュリティ対策の変化が挙げられます。従来のセキュリティは、外部からの不正アクセスや、マルウェアのダウンロードに対してウィルス対策ソフトやファイアウォールによる防御が中心でした。

近年はさまざまなクラウドサービスを積極的に利用するようになっています。また、社内のモバイル端末を外部へ持ち出し、外部から社内にアクセスするといった使い方も増えています。ブロックするもの、透過させるものを識別することが困難になりつつあり、セキュリティ対策も変化が求められるようになりました。

必要性の3つ目は、リモートワークの浸透が挙げられます。リモートワークの浸透により、社員が外部から社内にアクセスする機会が増えました。外部のネットワークは、公共のフリーWifiや社員自宅のWifiを使う場合もあり、盗聴や改ざん、機器の脆弱性を完全に排除できません。

社員が利用するパソコンも、ウィルス対策ソフト等のセキュリティをチェックできないため、マルウェアへの感染や不正アクセスを前提としたセキュリティ対策が求められるようになりました。

今までのセキュリティ対策では、EPPにより自社内に感染や不正アクセスされる前にブロックしていました。そのため、フィードバックできる情報は、外部からの通信内容やマルウェアのパターンといった一部に限られています。EDRの導入により、今までに入手できなかった攻撃のパターンや、不審な振る舞いを入手し、自社のセキュリティ対策に活用できる効果とメリットがあります。

メリットの1つは、脅威の早期発見と迅速な対応ができる点です。EDRはエンドポイントのログを管理サーバに集約、分析し、脅威を早期発見します。EDRは、脅威の早期発見後に被害範囲の特定、脅威の隔離、脅威の駆除、エンドポイントの復旧まで対応します。EPPでは対応していない、被害範囲の特定やエンドポイントの復旧まで迅速に対応できる点がメリットです。

メリットの2つ目は高度な脅威にも対応できる点です。EDRは、エンドポイントから集約したログを分析し、脅威インテリジェンスの統合によりインターネット上で脅威を共有しています。そのため、新たな脅威が発生しても、すぐに攻撃パターンの検知が可能です。また、EDRは、未知の攻撃であっても、振る舞いのパターンにより検知できます。以上の理由により、高度な脅威にも対応できる効果があります。

メリットの3つ目は、リアルタイムに監視の可視化ができる点です。EDRはエンドポイントのログを集約し、関連付けて可視化できます。例えば、あるエンドポイントがマルウェアに感染した場合、ネットワーク上にある他のエンドポイントへ拡散していく状態を一目で確認可能です。

その他、通常使われていない時間帯に大量のデータが送信されるといった行動を可視化して、管理者に通報します。脅威を可視化することで、より効果ある管理が可能です。

メリットの4つ目は、リモート環境に適応できる点です。リモート環境は利用している通信や、エンドポイントを指定できません。そのため、リモート先のエンドポイントに、エージェントをインストールし、EDRの監視下に置きます。EDRは、管理サーバが検知や分析を請け負うため、社内と同等のセキュリティを確保できます。また、EDRによっては、感染後にエンドポイントをネットワークから隔離するものもあります。

EDRを選ぶポイントとして、自社が持っているEPPの状態、自社のセキュリティに対する人員や体制といった要件を考慮し、総合的なセキュリティ対策を考える必要があります。ここでは、EDRを選ぶ際に考慮すべきポイントを紹介します。

EDRを選ぶ際に、エンドポイントセキュリティ全体のカバーができているかを考慮する必要があります。例えば、エンドポイントセキュリティとして、マルウェアからの防御の他にも、管理すべき項目があります。既にEPPとして、USB等の媒体の管理やエンドポイントのパッチ適用状況を把握している場合、EDRとして同じ機能を持つ必要はありません。EDR導入による効果を考慮し、あくまでもセキュリティとしてどこまで防御するのかを整理したうえで、全体をカバーできるようにEDRを選ぶ必要があります。

EDRは管理サーバがエンドポイントから集約したログを分析し、攻撃を検知します。管理サーバをクラウド上に配置するのか、自社ネットワーク内に配置するのか、考慮する必要があります。管理サーバをクラウド上に配置した場合、クラウドの提供ベンダーが設備をメンテナンスするため、一般的に障害には強固です。ただし、外部とのネットワークが遮断された場合は、EDRによる防御ができないデメリットがあります。

一方、自社ネットワーク内に配置した場合、外部とのインターネット通信が遮断されても、自社内で機能できるメリットがあります。ただし、管理サーバの故障に対して、保守契約を結ぶなどの対策を講じる必要性が高くなります。

それぞれ一長一短あるため、自社の状況を考慮して管理サーバの配置を決定しましょう。

サイバー攻撃はますます進化し、脅威が増しています。攻撃の検知能力を上げるために、EDRセキュリティベンダーの脅威インテリジェンスを活用する必要性が高くなっています。グローバルレベルの脅威インテリジェンスを持つ、信用できるEDRセキュリティベンダーの選定が重要です。

EDRの最も重要な点は、未知のマルウェアといった高度な攻撃の検知です。サイバー攻撃の進化により、攻撃単体の検知だけではすべてを防御できません。攻撃者が良く使う、攻撃の「パターン」を検知する必要性が高まっています。より多くの「パターン」を学習した、EDRを選びましょう。

EDRを選ぶ際に、サポートの質を考慮する必要があります。EDRは攻撃に対する検知や、駆除、復旧といったセキュリティ製品です。EDRを運用するためには、脆弱性情報、脆弱性の解決方法、実行された攻撃内容といった専門的な知識が必要となります。EDRの機能だけでなく、サポートの質が良く、信用のあるEDRセキュリティベンダーを選ぶ必要性が高まっています。また、サポートの質が良いことで、自社のセキュリティ知見も向上する効果も見込めます。

EDRを選ぶ際に、対応OSを考慮する必要があります。近年のEDRは、一般的なOSをほぼサポートしていますが、自社が特殊なOSを利用している場合は対応しているか確認が必要です。今後、利用する可能性があるOSまで対応するかを検討したうえで、EDRを選びましょう。

EDRを選ぶ際に、第三者機関による評価の確認を行う必要性が高まっています。EDRのメーカ資料は、自社製品の優位性だけを宣伝する場合が多く、どの製品が自社にふさわしいのかわかりません。中立な立場の第三者機関が行った機能評価を参考にして、自社に最もふさわしい製品を選びましょう。

EDR製品の中には、攻撃を検知した後の駆除、隔離、復旧を自動化、もしくは効率化できる製品があります。調査作業を支援する機能が充実すれば、運用面の負担を軽減する効果も期待できます。企業のリソース不足により、調査作業を支援する機能の必要性が高まっています。自社の人員や体制を考慮した上で、どこまで調査作業を支援する機能を持つ製品を選ぶか、検討が必要です。

また、SOC（Security Operation Center）と呼ばれる、検知後の対応を24時間365日で対応する組織の立ち上げも有効です。

EDRを選ぶポイントとして、導入の容易さを考慮する必要があります。特にエンドポイントにエージェントをインストールする際は、自動的なインストールや、簡単なインストールができれば、問い合わせが少なくなり、運用面の負担を軽減する効果も期待できます。

インストールが複雑な場合、インストールを誤ったり、インストールされなかったりして正常な運用が妨げられ危険です。そのため、導入の容易さは必要性が高いといえます。

EDRを選ぶポイントとして、ネットワークへの負荷を考慮する必要があります。EDRはエージェントからのログ収集が、攻撃を検知するために必要です。EDRの導入によりネットワークのトラフィックが増大し、帯域が足りなくなると攻撃の検知が遅れる恐れがあります。そのため、ネットワークを増強する必要性が高まります。予想トラフィック量を計算し、必要に応じてネットワークを増強しましょう。

EDRは分析処理の精度が最も重要です。EDRはエージェントからのログを分析して攻撃を検知します。よって、分析処理の精度が高いほど、高いセキュリティとなります。エンドポイント間のログを関連付けて分析したり、外部の脅威インテリジェンスを利用したりして、より高度な分析能力を持ったEDRを選びましょう。

EDRを選ぶポイントとして、他のセキュリティとの相性を考慮する必要があります。リモートワークが一般的になり、外部から社内へのアクセスが当たり前になりました。外部からのアクセスを、クラウドプロキシ等を利用してセキュリティを向上させる必要性が高まっています。これらのセキュリティソリューションを組み合わせる場合、相性が悪いと通信ができません。事前に相性の確認が必要です。

EDRを選ぶポイントとして、マネージドサービスの範囲を確認する必要があります。人員不足などの要因で、EDRで攻撃を検知した後の対応ができない場合があります。この場合、MDR(Managed Detection and Response)の利用も考慮が必要です。MDRとは、外部の専門家による、脅威の監視、対応サービスを24時間365日提供するサービスです。サイバー攻撃の凶悪化により、MDRの必要性も高まっています。自社の人員や体制、予算を考慮してMDRを導入を検討しても良いでしょう。

EDRを選ぶポイントとして、リスクスコアの定量化ができるか確認する必要があります。EDRが攻撃を検知し対応するときに、優先順位をつけなければなりません。この優先順位付けをリスクスコアの定量化と呼びます。脅威度、影響範囲を考慮し定量化してスコアを算出すると、優先順位がわかり対処しやすくなります。リスクスコアの定量化も、運用する上で必要性が高まっています。リスクスコアの定量化ができるEDR製品を選ぶとよいでしょう。

EDRは安価な製品ではありません。現時点でのセキュリティを考慮し、より効果やメリットがある適切なEDRを選ぶ必要性が高まっています。ここでは、EDRを導入する際のコストについて説明します。

EDRの導入費用については、セキュリティレベルとコストのバランスが重要です。また、導入以降の運用においても、利用料や保守費用といったコストがかかります。EDR製品が良くても、サポート体制に不備があれば、メリットや効果が望めません。

運用は自社で行うか、MDRを導入するかといった検討も必要です。また、MDRを導入する際も、MDRのサポート要員が十分確保されているか、品質はどうかを評価しなければ、メリットや効果がない場合もあります。

まずは、自社のセキュリティ全体の要件を確認し、見積を取った上での比較・検討をおすすめします。

EDRの導入まで期間については、一般的に導入する拠点やエンドポイントの台数が多いほど長くなります。一方でEDRの稼働が早いほど、セキュリティへのメリットや効果が高くなります。そのため、拠点ごとに導入時期をずらして、段階的に導入する方法も有効です。

導入ベンダーと打ち合わせをして、無理がないスケジュールを組むことが重要です。

サイバー攻撃の脅威が増す中、セキュリティの確保は企業として重要な課題です。EPPだけでは攻撃を防げないという認識が広がり、EDRを導入する企業は増えています。EDRの運用が難しければ、MDRまで導入し専門家による支援を受けるとよいでしょう。

EDRだけでなく、EPPやクラウドプロキシといったセキュリティソリューションを多層に組み合わせて、サイバー攻撃を防ぎましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。

>>無料でのお問い合わせはこちら