【ナレッジコラム】EDRとは？その概要やメリットからEDR製品選定のポイントまでを紹介

サイバー攻撃が多様化・高度化していきている昨今、組織側でのセキュリティ対策にも見直しが迫られています。特に端末などエンドポイントのセキュリティ対策は、「予防」という観点での対策のみでした。そこで登場したのが「EDR」です。EDRを導入すると、「感染後の対応」に重点を置いたセキュリティ対策が可能になります。今回は、EDRの概要やメリット、EDR製品選定のポイントなどをお伝えします。

EDRの定義

EDRとは「Endpoint Detection and Response」の略で、直訳すると「エンドポイントでの検出と対応」という意味です。エンドポイントは、直訳すると「終点」という意味で、ネットワークの末端のことを指します。各種センサーなどのIoTデバイスがエンドポイントなることもあれば、サーバーがネットワークのエンドポイントとして位置づけられることもあります。

EDRは、エンドポイントの監視を強化し、サイバー攻撃を検出して対応することが目的です。特に不審な挙動の検出と調査に焦点を当てたツールとして、EDRが定義されました。

EDRは、エージェントをエンドポイントにインストールすることで動作し、エージェントのログデータはサーバー上に集約され、まとめて分析されます。疑わしい挙動がある場合は管理者に通知でき、管理者はログを精査して対応が可能です。ログを様々な切り口から可視化する機能もあります。

EDRのメリット

EDRはEPPとの連携で強みを発揮します。EPP（Endpoint Protection Platform）は、直訳すると「エンドポイント保護プラットフォーム」で、エンドポイントの保護を目的としたセキュリティ対策ツールの総称です。ウイルス対策ソフトもその一種といえます。EPPは既にある程度の普及をみせていますが、EPPでは対応できない領域をEDRでカバーできるため、近年ではEDRも注目され始めています。

攻撃や感染を予防するEPPに対し、EDRは攻撃や感染後に被害を抑えることが目的です。「感染しないこと」のみに重点を置くと、EPPでは検知できないサイバー攻撃の発見・初動対応が遅れ、ひいては被害が拡大する可能性があるため、EDRの併用による二重の対策に注目が集まっています。

EDRを導入すれば、マルウェアやランサムウェアをいち早く検知・除去できるようになり、EDRの可視化機能で感染の根本原因や影響範囲も容易に把握できます。ハッキング活動なども直接観察可能です。

EDRを知るうえでの機能のポイント

EDRという言葉は比較的新しい言葉なので、聞き慣れない方も多いはずです。ここでは、EDRを知るうえでの機能のポイントを順番にみていきましょう。

• マルウェア解析：エンドポイントのログからマルウェアの挙動有無を解析
• 不正侵入解析：Open IOCやYARAなどのルールを用いて不正侵入有無を解析
• 詳細解析：検知された疑わしいプログラムやプロセスを詳細に解析
• マルウェア検知：PCなどのエンドポイントを検索し、マルウェアを検知
• ファイアウォール：外部の攻撃からエンドポイントを防御
• バージョン確認：PCなどにインストールされているソフトウェアが最新か監視
• ソフトウェア自動更新：ソフトウェアをバックグラウンド処理で最新版に更新
• システム制御：問題のPCなどのネットワーク切断やソフトウェア非アクティブ化など
• プロセスの自動停止：マルウェアの疑いがあるプロセスを自動停止

EDRは、これらの機能でエンドポイントを脅威から防御していきます。

EDR製品を選択する際に考慮すべき点とは

ここまでEDRの内容についてお伝えしてきましたが、結局EDRを選ぶ場合において、何を考慮すればよいのでしょうか。順番にみていきましょう。

検知能力が優れているか

• 最新の脅威を検知できるようになっているか
• 複数のエンドポイント間でのログデータを関連付けられるか

効率のよい調査・対応が実施できるか

• 調査や対応を自動化・効率化できるかどうか
• 感染端末の強制シャットダウンやファイル隔離ができるか
• ログの保存などを遠隔から行えるか
• 各エンドポイントで取得したログデータを組み合わせる機能は豊富か

エンドポイントへの展開は簡単か

• エージェントソフトの導入は容易か
• 業務影響の度合いは許容範囲か
• 事前に設定する内容で展開できるか
• エンドポイントのCPUやメモリなどのリソースに負担がないか

これらの機能を評価する際には、第三者機関の機能評価なども参考にしていきましょう。

EDRの導入事例

ここからは、各社で実際にEDRを導入した事例をみていきます。

過去の教訓を基にEDRの導入を決断

とある製薬企業では、自社の端末がDDoS攻撃の踏み台にされていた過去から、セキュリティに対しての危機感を強くもって経営にあたってきました。

しかしながら、アンチウイルスなどのEPPをすり抜けてくる脅威に対しての対策は万全であるとは言い切れません。既に同社ではファイアウォールやIPS/IDS、Webフィルタリングといったネットワーク周りのセキュリティ対策は一通り実施しており、さらにすべてのクライアント端末にアンチウイルス製品を導入していました。しかしながら、可能な限りの対策を講じたにもかかわらず、数台の端末がランサムウェアに感染したため、エンドポイントのセキュリティ対策について、一段踏み込んだ対策をとる必要があると考えていました。医薬品の研究開発に関わる情報やデータは機密性が非常に高く、絶対に外部に漏らせない情報で、当局に報告する薬の副作用に関するデータも不正や改ざんが発生しないよう厳密に管理する必要があったためです。

そこで同社が導入に踏み切ったのがEDRです。エンドポイントを常時監視し、不審な動きを即座に検知するEDRなら、EPPで対処できない脅威にも対応していける可能性が上がります。

社内にある約800台のPCすべてにEDRのエージェントを導入し、その後は軽微なエラー程度でエンドポイントを運用できており、社内の脅威が可視化されたことで大きな安心感を得られています。

働き方改革などに伴うエンドポイントのセキュリティ強化を実現

とある鉄道貨物会社は、顧客の必要な荷物を預かり、また鉄道という重要インフラに関わっていることから、輸送や設備保全などのデータも管理しています。このような情報が社会に漏えいしてしまうと、社会基盤ともいえる鉄道の信頼を根底から揺るがす事態になりかねないため、特にエンドポイントのセキュリティ対策は厳格に実施する必要性がありました。

もちろん以前から情報セキュリティに関しては対策を万全にしており、ファイアウォールやIPSなどのネットワークセキュリティ製品をはじめ、ウイルス対策ソフトなどのEPPも可能な限り導入・運用していきました。

しかし昨今のコロナ禍におけるリモートワークや、働き方改革による様々な場所での作業なども相まって、セキュリティに関する不安は拭えなかったといいます。現に同社の社員のパソコンへは、不正サイトへの誘導を狙ったメールが複数着信し、一歩間違えればフィッシングサイトなどの餌食になりかねない状況でした。また、社外からアクセスする場合には、既存のファイアウォールやIPSなどは経由しないため、インターネット上の脅威にさらされやすいことも問題でした。

そこで同社は、サーバーやPC上で直接脅威を検知・除去するEDRに着目し、エンドポイント対策への注力を狙って導入に踏み切りました。EDRならば、単にエンドポイント上の脅威を検知するだけでなく、疑わしいプロセスの停止やファイルの削除など、検知後の対処まで実施できます。

導入後、幸いにもマルウェア感染やインシデントは発生していませんが、導入効果は明確に現れました。これまではマルウェアの侵入を許してしまうと、内部でどんなリスクが生じているのか可視化する手立てがなく、疑わしい端末すべて回収して再インストールしていました。

EDRの導入後はリスクを可視化できるようになり、必要最小限の対処だけで済むようになりました。
社内に約4,000台あるPCのうち、約600台へのEDR導入が完了し、残り約3,400台に関しても順次入れ替えが進められています。

EDRを活用して効果的なセキュリティ対策を

EDRはエンドポイント上で監視し、サーバー上でエージェントのログデータをまとめて分析できます。既に導入している企業が多いEPPに加え、新たにEDRを併用することで、感染の予防と感染後の被害拡大の両方に対して対策していけるため、機密性の高い情報を取り扱う際にも安心感が増します。また、EDRの可視化機能で感染の根本原因や影響範囲を容易に把握可能です。

ぜひEDRを導入してエンドポイントのセキュリティを強化し、コロナ禍や働き方改革などに対応していきましょう。