EDR(Endpoint Detection and Response)とは
EDR(Endpoint Detection and Response)の必要性や活躍する場面、EPPとの違いまでをわかりやすく解説します。
EDR(Endpoint Detection and Response)とは
EDRとはEndpoint Detection and Responseの略で、日本語に訳すと「エンドポイントの検知と対応」となります。「エンドポイント」は終点や末端を意味する英単語ですが、ITの文脈においては、プログラムにアクセスするための公開URLや、ネットワークの末端に位置する端末などをこう呼びます。このうちEDRが言うエンドポイントは後者の方で、エンドユーザーが使うPCやサーバ、スマートフォンが対象となっています。
EDRを一言で表すと、この「エンドポイント」に対するセキュリティソリューションです。EDRはリアルタイムでエンドポイントからログを収集・相関分析し、悪意ある振る舞いを検知した場合に対象の隔離などの必要な対応を行います。それに加えて、攻撃の感染経路や影響範囲も確認できます。
エンドポイントに対する同様のセキュリティソリューションとしては「EPP」が存在しますが、本記事ではEDRとEPPとの違いについても併せて解説します。
EDRはなぜ必要か
EDRの必要性について理解するため、まずはセキュリティ対策の考え方の変遷について解説します。
従来のセキュリティ対策は、境界型防御という考え方に基づいていました。これはネットワークに境界を設けて「社内」と「外部」に分け、社内ネットワークは安全で信頼されるものとして扱う考え方です。社内は既に安全な状態であることを前提に、社内に入れる経路を限定して、そこだけをしっかり防御することで、安全な状態を維持できるという考え方です。そのため境界型防御では、境界上に設置され、外部から社内のネットワークへの侵入を防ぐようなセキュリティ対策に主眼が置かれてきました。具体的にはファイアウォール、プロキシサーバ、IDS/IPSといったソリューションです。
しかし近年では、テレワークの浸透やクラウドサービスの利用機会の増加により、これまでの境界型防御では、セキュリティ対策としては不十分になってきています。そこで、これを解消すべく提唱されたのが、「ゼロトラスト」です。ゼロトラストは「何も信用しない(=Zero Trust)」という名前からも解る通り、社内ネットワークを暗黙的に信頼していた境界型防御とは、一線を画す考え方となっています。
ゼロトラストではすべての通信に対して、そのリクエストが妥当かどうかを個別に評価します。社内に存在しているというだけで、暗黙的に信用されることはありません。そのためゼロトラストでは、ネットワークの境界ではなく、各エンドポイントでのセキュリティ対策が重要となってきます。
その中でもEDRは、ウイルスの侵入を前提としてエンドポイント自体を監視し、侵入を認めた際に必要な対策を講じるためのソリューションです。EDRの必要性は、経済産業省による「サイバーセキュリティ経営ガイドライン」の中でも触れられています。まず経済産業省のウェブサイト
では、以下のようにその背景が説明されています。
- 経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)等に指示すべき事項をまとめたサイバーセキュリティ経営ガイドラインを策定し、その普及を行ってまいりました。
その上で、2023年3月24日に改訂された「サイバーセキュリティ経営ガイドライン Ver 3.0
」中の「指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築」において、以下のように述べられています。
- サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。
ここで言う「検知・分析」の機能を実現する仕組みこそがEDRなのです。
EDRはどのような場面で活躍するのか
ここからは、具体的にEDRが活躍するのはどのような場面かについて解説しましょう。近年、報道でもよく目にするようになった脅威のひとつに「ランサムウェア」があります。ランサムウェアとはマルウエアの一種で、データを暗号化するなどの方法で使用不能にし、その制限を解除するために身代金(Ransom)を要求するものを特に指す呼び名です。このランサムウェアの感染をいち早く検知し、迅速に対処するためのセキュリティ対策として、EDRがあります。
ランサムウェアの攻撃手法のひとつに、「ファイルレス攻撃」があります。ファイルレス攻撃とは、不正な攻撃プログラムをインストールするのではなく、OSに標準で含まれるプログラムを利用して行う攻撃の総称です。正規のプログラムを利用するため、ランサムウェアによる影響だと気づきにくいのが特徴です。そのため気が付かないうちに、侵害が拡大してしまう傾向にあります。ですがEDRはエンドポイントのログを収集・分析し、怪しい挙動や攻撃を検知することができるため、こうした攻撃に対しても一定の効果が期待できます。
ランサムウェアによる攻撃は、24時間365日、いつ発生するか予測ができません。そのためEDRにおけるログ監視と対応は、常時行うことが重要です。また発生したインシデントの分析には専門的な知識が求められます。こうした理由から、万全なセキュリティ体制を自社のみで構築することは難しい場合も多いでしょう。そのような際は、外部ベンダーによる「Managed Security Service(MSS)」の利用も検討してみましょう。
EPPとEDRの違いとは
冒頭でも述べたように、他のエンドポイントセキュリティソリューションとしては「EPP」が存在します。ここでは同じエンドポイントセキュリティソリューションとして、EDRとEPPにどのような違いがあるのかを解説します。
EPPとはEndpoint Protection Platformの略で、日本語ではエンドポイント保護プラットフォームと呼ばれています。名前に「保護」とある通り、EPPはエンドポイントへのウイルスの侵入防止を主目的としています。PCでもよく利用されている、いわゆる「アンチウイルス(Anti-Virus)」は、EPPの一種です。
多くのアンチウイルスソフトウェアは、パターンマッチング式を採用しています。これは「ウイルス定義ファイル」というウイルスのデータベースと照合することで、ウイルスを検出する方式です。この方式は誤検出が少なく、既知のウイルスに強いというメリットがありますが、パターンの照合という特性上、未知のウイルスに弱いというデメリットもあります。そこで最近では、未知のウイルスへの対策をカバーする、NGAVというソリューションが登場してきました。NGAV(New Generation Anti-virus)は日本語では次世代アンチウイルスとも呼ばれており、エンドポイント内の怪しい挙動を監視することで、未知のウイルスであっても感染前にウイルスの侵入を食い止めることができる、新しいEPPです。NGAVは振る舞い検知、AI、サンドボックスといった機能を用いて、未知のウイルスに対抗しています。
これに対してEDRは前述の通り、攻撃者に侵入され、ウイルスに感染した後のことを考慮した対応ソリューションです。簡単にまとめると、EPPはウイルスの侵入前、EDRがウイルスの侵入後に対するセキュリティ対策ソリューションであると言ってよいでしょう。カバーする範囲が異なるため、どちらか片方だけを導入するのではなく、両方を導入することが理想的です。
また最近では、EDRと(NGAVを含む)EPPの、両方の機能を含んでいる製品も登場してきています。1つのサービスで両方の面を対策できるため、これからエンドポイントセキュリティソリューションを導入する場合は、こうした製品を検討してみるのもよいでしょう。
富士通がご提供するEDR
富士通ではEDRとEPPの機能を両方有するエンドポイントポイントセキュリティソリューションである、「エンドポイントセキュリティ powered by CrowdStrike」を提供しています。CrowdStrike社の高度なセキュリティ基盤をベースに、エンドポイントから収集したログを分析・監視することで、エンドポイントへのサイバー攻撃を検知・防御し、日々、高度化・複雑化するマルウエアなどの脅威からお客様環境を守ります。
関連サービスのご紹介
また「インシデントの発生リスク軽減」、「被害の極小化」、「サイバー攻撃への耐性強化」を軸に、お客様環境におけるセキュリティマネジメントの導入および運用サービスである「インテリジェンスマネージドセキュリティサービス」を提供しています。攻撃状況や脆弱性情報等を継続的にモニタリングすることで、インシデントの早期発見を可能にします。
お問い合わせ・ご相談
当社はセキュリティ保護の観点からSSL技術を使用しております。
