EDRとは？サイバー攻撃から守るセキュリティ対策を徹底解説

最終更新日 : 2023-06-22

パソコンやスマートフォンなどのデジタルデバイスを安全に使いこなすには、サイバー攻撃から身を守るためのセキュリティ対策が必要不可欠です。

サイバー攻撃は年々巧妙化しており、対応するためのセキュリティ方法も進化を求められています。この記事では、サイバーセキュリティの一つであるEDRについて解説します。

エンドポイントセキュリティの1つ「EDR」とは

EDRは「Endpoin Detection & Response」の略です。Endpoint（エンドポイント）は、パソコンやサーバー、スマートフォン、タブレットなど、ネットワークに接続されているデバイスのことを指し、これらの状況を監視し、サイバー攻撃を受けてから対処を行うソリューションのことをEDRと呼びます。

EDRの大きな特徴は、サイバー攻撃を受けることを前提としている点です。エンドポイントをリアルタイムに監視することで攻撃の予兆を検知し、すぐさまマルウェアの検知や除去などの初動対処を行います。被害を最小限に抑えつつ、原因の調査や今後のセキュリティ対策の改善に繋げるのがEDRの役割です。

EDRにはいろいろな製品が存在しますが、感染エンドポイントの特定や他のエンドポイントに感染が起きていないかの状況特定、全てのエンドポイントを見やすい形でモニター化、監視を行うパソコンやスマートフォンの負荷を最小限に抑えるなどの機能が主に搭載されています。

また、監視によって収集されたログはサーバーに送られ、データとして蓄積、そして今後の攻撃に備えて分析を行っています。

EDR が必要な背景

なぜ現代でEDRが必要とされているのか。そこには3つの理由が挙げられます。

1つめはサイバー攻撃の高度化です。これまでのセキュリティは、企業や組織のネットワークとインターネットの境界線でセキュリティ対策を行い、攻撃を未然にはじくというやり方でした。しかしサイバー攻撃の手法は年々高度化しており、新しいセキュリティ対策を置いてもすぐにそれを上回る攻撃方法が登場します。そこで違う形でのセキュリティ対策、つまり攻撃を察知し事後的に対策を講じるEDRが必要とされるようになりました。

2つめの理由は、スマートフォンやタブレットなどのデジタルデバイスが普及したことです。デバイスを持つことが当たり前になった現代、侵入経路や感染経路が多様化、複雑化しています。こうした環境も、従来のセキュリティ対策では対応しきれなくなった理由の一つです。

そして3つ目の理由は、働き方が多様化したことです。リモートワークを導入する企業が増えたことで、リモートワーカーのパソコンを介して攻撃を受けるという事例が増えています。また、リモートワーカー自身が不正アクセスを行う例もあり、それらの監視対策が必要になった結果、EDRが必要とされるようになりました。

EDR で得られる効果

EDRを導入することで得られる効果は、大きく分けて「監視」「分析」「対応」「予防」の4つがあります。

まずは「監視」です。エンドポイント端末に専用のセンサーやソフトウェアを導入し、各種プロセスやログを常時監視します。これによってサイバー攻撃やマルウェアなどの脅威を検知することができます。「分析」は、センサーやソフトウェアが検知した脅威を、EDRベンダーのシステムやデータベースが解析し、脅威が発生したエンドポイント端末、侵入経路、被害状況などを特定する機能です。

また、脅威を検知すると被害を拡大しないようネットワークを切断、アプリケーションを非アクティブ化するのが「対応」機能になります。

そして「予防」機能によってエンドポイント端末にインストールされているアプリケーション情報を確認し、強制的に最新版に更新することで脆弱性をカバーします。

EDR のしくみ

EDRを導入すると、エンドポイント端末を常に監視するための専用「エージェントソフトウェア」を導入します。このソフトウェアによって、エンドポイントの使用状況や通信内容などのログを常時収集できるようになります。獲得されたログはサーバーへと送られ、データとして蓄積される他に、不審な挙動や攻撃が起きていないか分析されます。

万が一異常が見つかれば、このタイミングで管理者に通知が飛びます。通知がきたらログを精査し、感染した端末をネットワークから隔離し、感染拡大を防ぎます。更に侵入経路や感染原因、被害範囲などについて調査分析を行い、特定の危険ファイルの選定、削除を行います。

EDR の主な機能

EDRには様々な製品があり、それぞれ備わっている機能が異なります。具体的にどんな機能があってどんな役割を果たしているのか、確認していきましょう。

(1)監視・検知機能

サイバー攻撃やウイルスの兆候を察知するためには、優れた監視・検知機能が欠かせません。企業が保有している複数のエンドポイント端末を常時監視し、不審な部分があれば即座に対応するというのは非常にコストが重くなります。

EDRの監視機能は、エンドポイント端末に導入されたソフトウェアがクラウド上の管理サーバーと通信し、端末の状況をリアルタイムに監視します。そしてマルウェアが侵入した、サイバー攻撃を受けたなどの異常が発生した場合は検知機能が素早くそれを感知、管理者に対して攻撃の詳細や有効な対処法を提示します。

監視・検知機能があることで、人の手では難しい工程を確実に行い、かつ速やかな対処が実現します。

(2)分析機能

マルウェア侵入などの挙動を分析し、それがどこから侵入したのか、被害の範囲や状況はどの程度なのかを明らかにするのが分析機能です。分析結果は管理者で共有され、今後のセキュリティ対策に活かすことができる大切な情報となります。

また、分析した結果は蓄積され、同じような異常が発生したときにより一層素早く不審な動きを検知し、管理者への情報提供を速やかに行うことができるようになります。EDRがネットワーク攻撃による被害を最小限に留め拡大を防ぐことができるのは、分析機能によるものと言うことができるでしょう。

(3)インシデント対応機能

インシデント対応機能とは、マルウェア感染やサイバー攻撃が発生した際、該当アプリケーションの遮断、ネットワーク切断、ウイルスが検知されたツールを自動停止するなどの機能のことを言います。

「インシデント（incident）」は「事件」「出来事」という意味を持ち、セキュリティ分野では「危険性のある事情」のことを指します。また、復旧を実施するための準備を行うための体系的な取り組みも、このインシデント対応機能が担います。

マルウェア感染やサイバー攻撃は時間との勝負であり、時間がかかればかかるほど被害が拡大していくことになります。異常事態の動きを速やかに封じ込め、被害を可能な限り小さくするためには、インシデント対応機能が非常に重要になると言えるでしょう。

(4)予防機能

EDRはサイバー攻撃やマルウェア感染に対し事後的に対処を行うセキュリティ方法ですが、予防を全く行わない訳ではありません。EDRの予防機能は、エンドポイントの脆弱性を改善し、マルウェアに感染しづらい環境を整えることを言います。具体的にはエンドポイント端末にインストールされているアプリケーションを監視し、パッチ修正やバージョン更新がある場合は強制的に最新の状態にバージョンアップします。

アプリケーションの更新は新しい機能が追加されるだけではなく、旧バージョンの不具合修正や新しく生まれたウイルス対策などが含まれています。

つまりアプリケーションを常に最新の状態にすることで、その端末のセキュリティが向上し、結果企業ネットワーク全体を守ることに繋がります。

EDR製品の比較選定ポイント

EDRの基本的な機能を確認したところで、製品を選ぶときのポイントについて確認していきましょう。複数の候補を選び、機能や性能を比較してみると分かりやすくなります。

(1)未知のマルウェアや最新の脅威を検知できるか

まず、未知の攻撃や最新の脅威にも対応できるかどうか確認することが不可欠になります。どの程度マルウェアやその他の脅威を検知できるかどうかは、実は製品によって異なります。まだ知られていない未調査の攻撃方法であっても被害を最小限に抑えられるかどうか否かは、検知機能の精度が重要になってくるので、その点も注目したいポイントです。

製品やベンダーの実績を確認することも大切ですが、展開規模についても確認しておきましょう。世界的にサービスを展開しているベンダーなら、より豊富な情報を収集・蓄積できるので、検知精度が上がります。

(2)調査する機能が備わっているか

サイバー攻撃、マルウェア感染、不正アクセスなどの攻撃を受けた際、できるだけ被害を小さくするためには、感染経路や攻撃範囲を調査する機能が不可欠となります。速やかに原因や影響を調査し、対応が早ければ早いほど被害範囲は小さくなり、その後の復旧も早くなるからです。

優れたEDR製品はこの調査作業を自動化、効率化する機能が備わっています。詳細な検索機能もその一つです。EDRの調査は記録されたログを元に行いますが、単純な検索機能しか備わっていないと調査対象になるログの量が膨大になり、ノイズも多くなってしまいます。

効率的に調査を行うには複雑な条件を組み合わせることができる検査機能が必要です。その点にも注意して製品を選びましょう。

(3)導入・展開が簡単にできるか

EDRは各エンドポイントにエージェントソフトウェアを導入する必要がありますが、この作業が簡単に行えるかどうかも製品を選ぶ上で重要なポイントになります。

導入や運用に複雑な知識や専門スタッフが必要になると、現体制の改革が必要になり負担が大きくなってしまうことも考えられるからです。また、「業務に支障を出すことなくエージェントソフトウェアをエンドポイントに展開できるか」「事前設定の内容が容易か」というのも確認しておきたいポイントになります。

エージェントソフトウェアを導入したせいでエンドポイント端末の動作が重くなってしまった、となると業務に支障が出ます。高度な攻撃に備えることも大切ですが、実際に運用していけるかどうかも重要な判断基準となります。

(4)高度な分析処理を備えているか

EDRは、ログなどのデータを分析することで異常を発見して必要な対処を行うため、分析能力が高い製品を選ぶことが重要になります。

EDRでは監視機能によって脅威を検知すると、EDRベンダーのクラウド上のシステムやデータベースが脅威を解析、脅威が発生したエンドポイント端末、侵入経路、被害状況などを特定します。高度な分析力を備えた製品であれば、些細な異常も見落とすことなく速やかに異常を解き明かし、通知や対策など次の動きに繋げることができます。

被害を最小限にするためには脅威の早期発見は欠かすことができず、そのためには高度な分析処理が必要となります。

他のエンドポイントセキュリティ

エンドポイント端末に設置することができるセキュリティ対策はEDRだけではありません。エンドポイント・セキュリティの一つであるEPPについて確認していきましょう。

EPP とは

EDRと似た言葉に「EPP」があります。これは「Endpoint Protection Platform」の略で、エンドポイント保護プログラムと言われることもあります。その名の通りエンドポイントをマルウェア感染から防ぐことを目的としたセキュリティ対策の一つで、企業ネットワークに入り込んだマルウェアを検知して自動調査・分析を行い、感染する前に除去したり、不正プログラムを実行前に防いだりすることができるプログラムです。

マルウェアの検知方法は、古くから存在する定義ファイルベースの物に加え、機械学習や振る舞い解析などの技術も取り入れられています。

これによって既知のマルウェアだけではなく、未知のものへの対応もできるようになっています。謂わば「水際で食い止める」ことを目的としたセキュリティ対策ですが、EPPだけでは全ての脅威を食い止めることができないため、EDRと組み合わせるケースが増加しています。

EPP の種類

EPPにはいろいろな種類がありますが、代表的なのは「アンチウイルスソフトウェア（AV/Anti-Virus Software）」と「NGAV（Next Generation Anti-Virus）」です。

アンチウイルスソフトウェアはEPPの代表例で、個人や法人で広く使用されています。マルウェアの攻撃パターンを元にマルウェアを検知し、駆除を行います。ただ、最新のマルウェアに対応できるよう日々アップレートを重ねているものの、アンチウイルスソフトウェアでは未知のマルウェアへの対応が困難だという課題がありました。

それに対応すべく生まれたのがNGAVで、機械学習や振る舞い検知によってマルウェアと疑わしいものを検知、ブロックすることでエンドポイント端末を感染から守ります。また、疑わしいものの不正ファイルと断定できないプログラムを調べるための仮想領域「サンドボックス」を備えているのも大きな特徴です。

EDR との違い

EPPとEDRは、共にマルウェアの感染を防止することを目的としています。名前も似ているので混同されがちですが、両者の違いは感染防止の方法にあります。EPPはマルウェア感染前の対策を目的としていて、マルウェアの侵入を防いで感染を未然に防ぎます。

EPPによってマルウェア感染を防ぐことができれば、EDRの出番はありません。しかし新しいマルウェアが次々と生まれている現代の状況では、EPPによって全ての脅威を防止することは不可能と言っても過言ではありません。EDRは、マルウェアに感染してしまった後、その被害を最小限に抑えるためのセキュリティ対策方法です。EDRさえあればEPPは要らないのでは、と考えがちですが、それは間違いです。

マルウェアに感染する度にEDRが動いていると、検知、調査、分析などで膨大なリソースを割かねばなりません。迅速な対応ができず被害が大きくなってしまう可能性もあります。EPPとEDRは、両方導入することでセキュリティ精度を上げると言われています

EDR導入の注意点

マルウェア感染やサイバー攻撃に対し効果を発揮するEDRですが、導入する際にどういった点に注意すればいいのでしょうか。

(1)運用リソースがかかる

EDRは一度導入したらそこで終わるわけではなく、維持するためのリソースが必要になります。従来のアンチウイルスソフトウェアと比較すると操作が難しく、また随時管理するための人材が必要になります。

つまりセキュリティの専門家を置く必要があるため、人材コストがかかってしまいます。また、必要なのは人件費だけではなく、外部SOCサービスを利用するコストも発生します。できる限り負担を抑えたいというときは、いろいろなタイプのEDRを比較検討する必要があります。

比較的コストを抑えて導入できるのは大手セキュリティベンダーが提供している製品だと言われています。広く使われている分、データ収集・蓄積という点でも優れています。また、クラウド型の製品は導入や管理が容易なので、検討してみるといいでしょう。

必要に応じて製品を導入したり、クラウドを利用するなど工夫を行うことが大切です。

(2)自社環境に影響を与える可能性がある

EDR製品は、対応するOSが違ったり、既に導入されている他のセキュリティ対策ツールとの相性が悪かったりすると、効果的に運用できない場合があります。また、サーバーを利用している場合はEDRを導入することで現在の自社環境に干渉する可能性があります。

日々進化するセキュリティ対策の情報を取得し、ソフトウェアを最新の状態に保つために頻繁に更新を行うため、ネットワークに負担がかかる可能性もあります。エージェントソフトウェアを入れたことでエンドポイント端末の動作が重くなったり、ネットワーク回線の速度が低下して業務に影響が出ることも考えられます。

こうした事態を防ぐためにも、導入前に環境をきちんと確認し、問題なく動作するかチェックしておくことが求められます。また、EDR単体でセキュリティ環境が整う訳ではないので、アンチウイルスソフトウェアなど他の手段と連携することを前提としておくことも必要です。

EDR製品の選び方

EDR製品には、それぞれ異なる特徴があります。選ぶときはそれぞれの特徴に注目し、それぞれ比較しながら導入したときのイメージを掴むようにすると良いでしょう。

(1)Microsoft Defender for Business 〔Microsoft 365 Business Premium〕

Microsoft Defender for Businessは、エンドポイントの操作や動作を監視し、マルウェアやフィッシングなど様々な脅威から保護するためのセキュリティソリューションです。

単体で購入できるのはもちろん、既にMicrosoft-365 Business Premiumを利用している場合は追加料金なしで利用することができます。300人以下で構成される中小企業を主に対象にしていますが、受けられるセキュリティ対策機能は大企業向けのものと変わりありません。

監視や脅威検出、脆弱性管理、フィルタリングなどの基本的な機能を備えており、インフラ整備が不要ですぐに運用を始められるのが大きなメリットです。その他にも、マルウェアに感染した、あるいは感染を検知した際に自動対応を行うため、セキュリティの運用コストを大きく下げることができます。

遠隔操作も可能で、ネットワーク隔離やフルスキャン実行、パスワード操作などの初動操作がリモートで行えるので、従業員を感染したエンドポイントのある場所に向かわせる必要もありません。

(2)Cybereason EDR

Cybereason EDRは、クラウドによってサービス提供が行われているEDRであり、数万台のエンドポイントであっても全体の状況をリアルタイムで遠隔から監視してくれます。

情報分析はクラウド上のAIが行い、何らかの脅威が起こったときは攻撃の全体像や詳細をすぐ確認できる管理画面で素早く伝達してくれます。この直感的に可視化でき、かつ迅速に適切に対応できるインターフェースが、Cybereason EDRの大きな特徴と言えるでしょう。

これを可能にするのが1秒間に800万回行われるビッグデータ解析で、異常な振る舞いや未知の攻撃を絞り込み特定、検知することでリアルタイムに攻撃の全体像を把握することができます。Windows、Mac OS、Linuxなど様々な環境にあるエンドポイントをしっかり監視してくれるのも頼りになるポイントです。

また、パソコンやネットワークへの負荷が小さく、センサーをインストールするエンドポイント端末や他アプリケーションへの影響が少なくなるような構造になっており、無償で事前検証を行うことで影響を確認することもできます。

(3)ESET Enterprise Inspector

ESET Enterprise Inspectorは、ESET社が持つ多層型エンドポイント保護プラットフォームを活かしたEDRツールです。

統合管理システムを使用し、EPPとXDRの一括管理を実現し、攻撃に対する「事前対策」と「事後対策」の両方を一つのツールで行うことができます。XDRは、エンドポイントだけではなく、電子メールやサーバー、クラウド、ネットワークなどの様々なセキュリティレイヤーを通じてデータ収集を行い、それらを相互に関連付けることを言います。

これによって全ての関連オブジェクトをクロスリンクさせ、インシデントの同時修復を可能にしています。コンピュータグループやユーザーに応じて検知ルールを調節できるのも大きな特徴の一つで、簡単に誤報の抑制が可能となっています。また、挙動ルールを調節した後再スキャンをかけることで、新しく調節したルールによって検知した新しいアラートを特定することもできます。

ダッシュボード画面ではリアルタイムで発生している未解決の脅威が表示され、脅威の水準や発生日時なども確認することができます。

(4)Trend Micro Apex One

Trend Micro Apex Oneは、高い防御力とEDR機能による感染後対策の両方を備えた相互エンドポイントセキュリティです。

AI技術を活用することで、未知のファイルの実行前、実行後両方にアプローチすることが可能になっています。ファイルレス、環境規制型、ランサムウェアなど日々進化し続ける高度なマルウェアを、高い技術によって正確に検知することができます。

革新的な挙動分析によって、スクリプトやインジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現します。また、高いノイズ除去技術を採用しているため、誤検出、過検出を防ぐこともできます。

不正プログラムを削除した後、ウイルス感染によって不正に改変されたファイルやレジストリを修復する「自動回復」や、コンピュータの脆弱性を突き不正アクセスの足がかりになるエクスプロイトコードの検出や隔離、Trend Micro社によって収集された膨大な危険URL情報を活用し、危険なWebサイトへのアクセスを自動的に遮断する「Webレビュテーション」など、様々な機能が搭載されています。

(5)Symantec Endpoint Security

Symantec Endpoint Securityは、世界最高レベルの統合型エンドポイントセキュリティです。

既にあったSymantec Endpoint Protectionの強化版で、社内のパソコンやモバイルデバイス、サーバーなどを一括管理することができます。自社の環境に合わせてオンプレミス・クラウドを選べるのもメリットの一つです。複数のセキュリティ製品を導入するとセキュリティ精度を上げることはできるものの、コストは上がり運用は煩雑になりがちです。

Symantec Endpoint Securityは、アンチウイルス・EDR・NGAVなどの機能が統括されているため、運用の負担を軽減し、一括管理によるシンプルな運用が可能になっています。「脅威ハンティング機能」も大きな特徴の一つです。脅威ハンティングとは、既にウイルスが侵入済みという想定の下、プロセス監視やログ解析を行い、積極的にウイルスを狩っていく（ハンティングする）というアプローチ方法のことです。

機械学習とセキュリティ専門家が脅威調査を行うことで、より巧妙化、複雑化していく脅威に対しても素早く対策を取ることができます。