サイト内の現在位置

EDRとは？EPPとの違いや導入するメリットを解説

EDRは、ネットワークに接続されたエンドポイントを監視・分析・制御するシステムのことです。
サイバー犯罪は日々高度化し、従来の侵入を防ぐウイルス対策ソフトやファイアウォールでは対処しきれなくなってきました。そこで注目されているのが、「サイバー攻撃を受ける前提」で対処するEDRです。

今回はEDRについて、よく比較されるEPPとの違いや導入のメリットなどを紹介します。

お問い合わせはこちら

未知のランサムウェアを検知するエンドポイントセキュリティ対策の導入から運用までトータルで提供。
専門アナリストが脅威を監視・分析しインシデント対応を支援。

詳細はこちら

エンドポイントセキュリティ対策導入運用＆SOCサービス

お客さまのご要望や環境に合わせて最適なソリューションを組み合わせて提供します。また、お客さまが対策したい脅威に対応する対策も紹介します。

詳細はこちら

NECフィールディングのセキュリティ紹介

EDRはエンドポイントを監視するソフトウェア
EDRとEPPの違い
EDR選定のポイント
EDRを効率的に運用するためのポイント
セキュリティに必須のEDRは、導入後がカギ
関連サービス

EDRはエンドポイントを監視するソフトウェア

EDRはEndpoint Detection and Responseの略で、ネットワーク端末のエンドポイント（パソコンやサーバ、スマートフォンなどのデバイス）の状況や通信内容などを監視するソフトウェアです。
エンドポイントの動作や操作、通信状況などに異常や不審な挙動があれば、素早く検知して管理者にアラートを送り、管理者は遠隔で対処します。また、感染経路や影響範囲なども、EDRで調査や確認が可能です。

EDRの必要性

従来は、境界型セキュリティの考えにもとづいてセキュリティ対策が行われていました。境界型セキュリティとは、組織の内側は安全、外側は危険と明確に線引きし、境界内で対策を講じる考え方です。

ただし、近頃のサイバー攻撃は巧妙化しており、デバイスへの侵入を防ぐ境界型セキュリティの考え方で対処するのは難しくなっています。加えて、リモートワークやクラウドサービスの普及により、社員のデバイスを扱う環境も多様化しました。結果として、多様化したデバイス環境を狙ったサイバー犯罪は増加傾向にあります。

そこで提唱されるようになったのが、「ゼロトラスト（Zero Trust）」です。「ゼロトラスト」とは文字どおり、「信頼できるものは何もない」ことを前提としてセキュリティ対策を行うことであり、マルウェアの侵入を前提として対策するEDRもそのひとつです。

経済産業省と独立行政法人情報処理推進機構（IPA）が発表する「サイバーセキュリティ経営ガイドラインVer3.0」でも、サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築することがふれられています。これがEDRであり、高度化するサイバー攻撃や多様化する労働環境に対応するため、企業や組織がEDRを導入する必要性が高まっています。
※参考： new window 「サイバーセキュリティ経営ガイドラインVer3.0」（経済産業省）

ゼロトラストの考え方については、こちらもご覧ください。
ゼロトラストとは

EDRの仕組み

EDRは、エンドポイントの挙動を常時監視し、ログを記録しています。ログはリアルタイムでEDRのサーバに送られ、不審な挙動があれば管理者に通知されます。
さらに、サーバではログを脅威情報と照らし合わせて分析し、不審な挙動の痕跡があればそれもアラートとして管理者に通知される仕組みです。

アラートを受け取った管理者は侵入の疑いのあるデバイスをネットワークから切り離す、駆除ソフトを実行するなどのセキュリティ対策を行うことになるでしょう。

EDRとEPPの違い

EDRとよく比較されるものに、EPP（Endpoint Protection Platform）があります。EPPは「エンドポイント保護プラットフォーム」とも呼ばれ、マルウェアがデバイスに侵入するのを防ぐためのシステムです。

EPPには、パターンマッチングによって既知のウイルスを判別し、侵入を防いだり自動的に駆除したりする機能があります。最近ではEPPの一種として、機械学習や振る舞い検知から既存のウイルスの亜種など、未知のウイルスも検知できるNGAV（Next Generation Anti-Virus：次世代アンチウイルス）なども誕生しています。しかし、どんなに進化しても、マルウェアの侵入を完全に防止することは不可能に近いです。

感染を防ぐ目的のEPPに対し、EDRは感染後の被害を抑えることを目的としたものです。EPPをすり抜けてマルウェアに感染してしまった場合、本格的に攻撃が始まる前にEDRが不審な挙動を検知し、管理者にアラートを送ります。ログを取得しているため、侵入経路や影響範囲の特定にも役立ち、その後の対応がスムーズになるでしょう。

EPPとEDRはどちらか一方のみ導入すればいいというものではありません。多くの企業や組織はこれまでEPPのみ導入していましたが、未知の脅威が増加している今、EDRを併用する重要性が高まっています。

EDR選定のポイント

EDRは、製品によって提供する機能が異なります。どの製品を選んだらいいかわからない場合、以下のポイントについて考えてみてください。

利用目的

EDRには、大きく「EDR特化したタイプ」「EPP機能を備えたタイプ」があります。利用目的によってどういったタイプが必要なのか検討してみてください。

すでにEPPを導入している場合は、コスト面や導入の手間を考えてEDRに特化したタイプがおすすめです。EPP機能を備えたタイプの場合は、マルウェアの予防から侵入の検知、感染被害の抑制まで、一挙に対応が可能です。

動作環境

EDRによって対応するOSやデバイスの台数、サーバは異なるため、自社の環境に合うかどうかはチェックすべきです。また、ログの収集や分析はネットワークに負荷をかけるおそれがあるため、自社の環境にどれだけ影響があるのかも事前に確認しておきたいところでしょう。

EDRは管理がしやすく利便性が高いクラウド型が主流となっていますが、ログを社内で管理したいという場合は、オンプレミス型も検討してみてください。

検知・分析精度

前述のとおり、既知のマルウェアを検知できるだけではセキュリティとしては不十分です。未知のマルウェアをどのように検知するのか、ベンダーがどのように検証しているのかなども確認してみてください。

ただし、検知や分析の精度が高ければ、その分だけ費用は高額になります。自社のほかのセキュリティシステムとの兼ね合いや求めるセキュリティレベル、かけられる予算などを含めて検討しましょう。

導入・運用コスト

EDRは製品によって課金形態が違い、導入や運用のコストは変わってきます。企業や組織の規模でもコストは大きく変わりますから、導入前にベンダーに導入のコストとその後のランニングコストを確認しておきましょう。
また、コストは費用面だけでなく、運用にどれだけの手間がかかるのかも確認が必要です。

EDRを効率的に運用するためのポイント

EDRはセキュリティ強化をサポートするものですから、導入して終わりではなく、その後の運用こそが重要です。効率的にEDRを運用していくためには、以下のポイントに注意してください。

対応する技術を持つ人材の確保

EDRはマルウェアの侵入後に対応するものであり、侵入を防ぐものではありません。侵入のアラートがあればその都度、継続的な対応が必要になります。時には正常な動作を誤検知することもあり、対応したり見分けたりするためには、専門的な技術や知識が必要です。
EDRを導入する場合、運用できる技術や知識を持つ人材を確保できるかがカギとなるでしょう。

外部連携と委託

社内でEDRを運用していくのが難しい場合は、外部のセキュリティ専門企業と連携し、運用を委託する方法もあります。
運用は社内のネットワーク担当者やシステム管理者などが行うこともありますが、巧妙化するサイバー攻撃に対応するには高い専門性が必要です。さらに、いつ発生するかわからないサイバー攻撃に常時備えるのは難しいでしょう。

自社での運用が難しい場合、外部と連携して委託するのも手段のひとつです。EDRのオプションとして運用サポートを提供している場合もありますし、セキュリティシステムの運用管理を行うMSS（Managed Security Service）を利用する方法もあります。