カート内の商品数:
0
お支払金額合計:
0円(税込)

EDRとは?セキュリティ対策で注目される背景とEPPとの違い

EDRとは?セキュリティ対策で注目される背景とEPPとの違い
2022.03.24(2024.01.31更新)

企業のサーバや端末を狙うサイバー攻撃は年々巧妙化し、従来のセキュリティソフトでは防ぎきれない手口の攻撃も日々新たに生じています。一般的なウイルス対策ソフトの検知率は99.8~99.9%で、約1,000回に1~2回程度ウイルスが通過してしまうと言われており、そのウイルス対策として「EDR」が注目されています。この記事ではEDRの概要や普及の背景、EPPとの違いや導入時のポイント・注意点についてご紹介します。

目次

EDRとは

EDRとはEndpoint Detection and Responseの略で、ネットワーク下にある各端末(パソコン、サーバ、タブレット端末、スマートフォンなど)の操作状況や通信内容を監視し、異常を検知するソリューションです。
昨今、テレワークの普及などに伴い注目されている「エンドポイントセキュリティ」の一種で、ネットワークに接続されたあらゆる端末は、サイバー攻撃による侵入を100%は防げないという考え方を前提としたもので、不正アクセスされた場合やマルウェアに侵入された場合、可能な限り速やかに対応して被害を最小限に抑えることに主眼を置く対策です。
一般的にEDRは、以下の対応が可能であるソリューションであると定義されています。

  • エンドポイントの動作の記録および保存
  • エンドポイントの動作記録の分析
  • 疑わしい動作、挙動の検出
  • サイバー攻撃の影響範囲の調査、特定
  • システム修復方法の提案

分析、提案ついては、専門組織(SOC:Security Operation Center※)が行います。

※SOC(ソック)とは、Security Operation Center(セキュリティ・オペレーション・センター)の略で、情報システムへの脅威の監視や分析を行う人やその役割、専門組織を意味します。

SOCの役割と関係について

EDRの仕組み

エンドポイントの各端末や機器にエージェントソフトウェアと呼ばれる情報収集を行うソフトウェアを導入し、エンドポイントの使用状況や通信内容などのログを一定期間収集します。その後「不審な動き」「サイバー攻撃の可能性」等を分析、アラートをSOCが監視し、異常を発見次第すぐに利用者へ通知する仕組みとなっています。また、ソフトウェアにはログの情報をもとに被害の範囲や侵入経路を特定する機能も搭載していますので、被害を拡散させないための迅速なインシデント対応ができます。

EDRがセキュリティ対策で注目される背景

ここからはEDRが企業の情報セキュリティ対策で注目される背景についてご紹介します。

増加する不正アクセス行為

平成30年頃より不正アクセスの認知件数が急増しました。現在は減少傾向ではありますが、依然として高い数値が続いています。
以下は、令和5年の国家公安委員会・総務省・経済産業省による「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」における、不正アクセスの認知件数データをグラフ化したものです。

不正アクセス数の認知件数(件)
出典:警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

平成30年以前は1,000件台で推移していた件数が、令和元年には2,960件と、前年の2倍に迫る勢いで増加しました。令和2年の件数も前年からほぼ横ばいの状態です。令和3年には一時的に認知件数が1,000件台へと一気に減少しましたが、令和4年には再び2000件を超え、不正アクセス行為が継続的に行われていることを示しています。 なお、このデータは不正アクセスと認知された案件のみの数であるため、この件数にカウントされていない脅威も含めると不正アクセス行為の数はさらに増えると予想されます。

不正アクセスの巧妙化や新たな手口の増加

従来の不正アクセス対策は「いかに不正アクセスを防ぐか」に主眼が置かれていました。しかし、近年のサイバー攻撃は巧妙化しており、明確なターゲットを下調べしてから行う「標的型攻撃」、意図的にパソコンやスマホに不具合を起こすプログラムの「マルウェア攻撃」などが増えています。マルウェア攻撃の中でも代表的なのがランサムウェアで、意図的な感染によって暗号化されたファイルやハードディスクの回復のための金銭を要求するものです。

上記のような巧妙化していく未知のサイバー攻撃にともなって、従来の不正アクセス対策だけでは攻撃を検知できず未然に防ぐことが困難になりました。また、近年は一般企業の他、官公庁や公的機関を標的としたサイバー攻撃も増加しています。このような未知の脅威に万一侵入された際、いち早く対応するため、EDRが注目されているのです。

不正アクセスの巧妙化や新たな手口の増加

リモートワークの増加によるエンドポイント管理の煩雑化

テレワークなどのリモートワークが普及し、私用パソコンなど、社内で管理している端末以外のさまざまな端末を利用して業務が行われるようになりました。それを背景に、セキュリティ管理も煩雑になってしまっています。
従来は各企業のネットワーク単位で行っていたセキュリティ対策ですが、利用するすべての機器や端末のセキュリティも強化する必要が出てきたといえるでしょう。

EDRとEPPとの違いは何?

EDRに似た名称のセキュリティ対策に「EPP」がありますが、EDRとEPPの違いについても見ていきましょう。

EPPとは

EPPとは「Endpoint Protection Platform」を略した呼び名で、ネットワーク下の各端末のマルウェア感染防止を目的としたセキュリティツールを総称するものです。古くから存在するセキュリティソフトも、EPPの1つと考えてよいでしょう。

EPPとEDRによる対策が必要

EPPはマルウェアなどの感染を未然に防ぐためのものです。一方EDRはマルウェアに感染してしまった後の被害を最小限に抑えるためのセキュリティ対策です。
一般的なEPPのセキュリティシステムは、各マルウェアの攻撃パターンを登録することでマルウェアを検知します。
しかし、新たなマルウェアを登録し続けながらアップデートされてはいるものの、現時点で登録されていない攻撃パターン(未知の脅威)への対処はできません。
そのため、EPPを活用して大部分のウイルスの侵入を防ぎ、万が一侵入された場合はEDRで検知して対応するといった利用が推奨されています。

仮にEPPを導入せずEDRだけを導入した場合についてですが、EDRはあくまで検知と分析が主な機能になり、基本的に侵入のブロックや駆除を行うことはできません。セキュリティ対策をおこなうのであれば別途それらに対応する仕組みが必要になります。

EDR運用の注意点とポイント

サイバー攻撃の巧妙化にともなって、EDRの導入を検討している企業も多いと思います。ここではEDRの基本的な機能と導入方法、導入時の注意点をご紹介します。

EDRの基本的な機能

1.サイバー攻撃などの侵入を検知する

端末の不審な挙動や通信から、ウイルスなどが活動している兆候を検知します。

2.隔離

不審と思われるプログラムなどが見つかった場合、すみやかに管理コンソール上から遠隔で感染端末をネットワークから隔離することができ、ネットワーク上の他の端末への感染など被害拡大を防止します。

3.調査

端末のログ情報を常時収集しているため、その情報をもとに感染端末の侵入経路、被害状況(感染後の動作、範囲を含む)などを調査することができます。その結果を元にシステム上のどこで何が起こったか、それがどういった理由で発生したのかをひとつずつ切り分け、必要な対処や復旧までの手順を利用者に報告します。

EDR導入時の注意点

EDR導入時に、どのような点に注意してソリューションの選定を行えばよいのでしょうか。

1.検知技術

未知の脅威に確実な対応が可能かどうか、また高い検知能力を有しているかどうかを事前に確かめ、選定のポイントとしましょう。

2.分析・調査機能

検知能力と並んで重要視する必要があるのが、インシデントが発生した場合の原因究明や被害状況に関する調査や分析の機能です。再発防止の観点からも、調査や分析を自動かつ効率的に行えるソリューションを選定することが重要です。

3.環境負荷

優れたEDRを導入しても、ソリューション自体が業務環境に大きく負荷をかけてしまうとデメリットになり得ます。既存環境への影響を事前に確認し、導入を検討しましょう。特に、各端末のメモリやCPUの動作に影響しないかどうかは慎重に確かめる必要があります。

4.管理サーバの確認

EDRを導入するにはログを監視するための管理サーバを用意する必要があります。管理サーバには「クラウド型」と「オンプレミス型」の2つの提供形態がありますが、現在はクラウド型が主流です。クラウド型であれば、自社でサーバを準備することなく比較的短期間で導入でき、定義ファイルの更新も任せることができます。
オンプレミス型はサーバの準備等で導入に時間が掛かり、初期費用もクラウド型に比べ高めになりますが、月額費用は抑えられます。
また、定義ファイルなどの更新作業は手動になりますが、サーバの仕様変更など導入環境に合せたカスタマイズ等、柔軟に対応することが可能というメリットがあります。

EDR運用のポイント

EDRの導入・運用にはEDRに関する専門知識や技術が必要となる場合が多く、企業によってはEDRに関する知識を持つ人材がいない、十分な運用体制が整っていない、などの理由でEDRを導入していても適切に運用できていないケースが多いようです。これらの課題を解決するために、運用や管理をアウトソーシングすることも一つの方法です。ALSOKでは、あらゆるサイバー攻撃に対応できる万全なセキュリティサービスをご提供しています。

EDRを導入・運用する際は上記の注意点や運用ポイントを踏まえて検討し、自身で導入などが困難な場合は、専門家に相談すると良いでしょう。

ALSOK EDRサービス

ALSOKでは、AIによって脅威を検知し、復旧までを自動で行うEDRサービスを提供することにより、上記の課題を解決いたします。
また、従来のEDRには無い、マルウェア等に感染したり暗号化されてしまったファイルのロールバック機能を持ち、ランサムウェアの対策に強い製品です。30日の無料トライアルもお気軽にお申込みください。

まとめ

これからの情報セキュリティ対策では、既存の脅威に晒される事態を防ぐと同時に、万一未知の脅威による被害を受けた際も被害拡大を防ぎ、ダメージを最小限に抑えることが求められます。すでにEPPなどのセキュリティソフトを導入済みの企業でも、未知の脅威に備えるために様々な視点からセキュリティ対策を検討してはいかがでしょうか。