EDRとは?選び方のポイントからおすすめの製品まで徹底解説
IT化が進み、企業が重要な情報資産を数多く保管している中で、サイバー攻撃の手口が高度化・巧妙化しています。重要な情報を扱っているだけに、攻撃に遭うと大きな被害につながりかねません。特に、従業員やメンバーが各々のデバイスを使い、インターネットに接続して業務に従事する中で、それらエンドポイントのセキュリティ対策の重要性が高まっています。 ここでは、新しいエンドポイントセキュリティとして導入が進んでいるEDRについて解説します。製品の選び方やおすすめの製品まで紹介するため、セキュリティ対策の参考にしてみてください。
- EDRとは
- EDRのしくみとメリット
- EDRの選び方と導入時の注意点
- まとめ
EDRとは
ピンチアウトで拡大
EDRとは、「Endpoint Detection and Response」の略称です。エンドポイントを対象として監視を行い、不審な挙動を発見した場合は即座にアラートを発することで、素早いインシデント対応につなげるソリューションです。ここでは、EDRについてより詳しく解説していきます。
EDRとは
EDRは、エンドポイントを対象としたセキュリティソリューションです。エンドポイントとは、ネットワークに接続された端末を指します。企業のネットワークに接続されたパソコンやサーバーなどがエンドポイントに該当します。
EDRは、サイバー攻撃を受けた際に被害を最小限に抑えることを目的としたソリューションです。従来のサイバー攻撃対策は、アンチウィルスソフトウェアが主流でしたが、サイバー攻撃の巧妙化・高度化に伴い、従来の対策でも全ての攻撃を防ぐことが難しくなった、という背景があります。未知のサイバー攻撃に対しても被害を最小限に抑え、素早い対応につなげるためのしくみとして、EDRの重要性が高まっています。
ほかのセキュリティソリューション(EPP/NGAV/SIEM)との違い
EDRは、ほかのセキュリティ製品とどのように違うのでしょうか。ここでは、EPP/
NGAV、SIEMとの違いについて解説します。
EPP/NGAVとの違い
EPPとは、「Endpoint Protection Platform」の略称です。EDRと同じく、エンドポイントを対象としたセキュリティソリューションです。EDRの役割が「エンドポイントが攻撃を受けたことを検知し、被害の拡大を抑えること」であるのに対し、EPPの役割は「エンドポイントをマルウェア感染から防ぐこと」です。分かりやすい例としては、アンチマルウェアソフトがEPPに該当します。
アンチマルウェアソフトも高度化が進み、未知のマルウェアも検知できるように進化しています。ふるまい検知やAIなどを用いて未知のマルウェアも検出できるようなEPP製品をNGAV(Next Generation Anti-Virus)と呼びます。NGAVはEPPと同じく、エンドポイントのマルウェア感染を未然に防ぐためのソリューションですが、全てのマルウェアを検知できるわけではありません。万一感染してしまった場合、素早い対応につなげるのがEDRの役目です。
SIEM
EDRと同じく、サイバー攻撃に対していち早く対応し、被害を最小限に抑えることを目的としたソリューションに「SIEM(Security Information and Event Management)」があります。EDRが個々のエンドポイントを対象として監視を行うのに対して、SIEMはシステム環境全体のログを一元的に管理し、それぞれのログを相関分析することによって異常を検知します。有効なセキュリティ対策として、SIEMで環境全体を監視しながら、EDRでエンドポイントを監視して補完する、といった連携が注目されています。
EDRのしくみとメリット
ピンチアウトで拡大
EDRはどのようなしくみで機能し、どのようなメリットがあるのでしょうか。ここでは、EDRのしくみとメリットについて解説します。
EDRのしくみ
EDRは、エンドポイント上でマルウェアによる不審な挙動がないか、常に監視します。パソコンやサーバーといったエンドポイントに、専用のエージェントソフトやセンサーなどをインストールすることでログを取得し、リアルタイムの監視を実現しています。
EDRは、マルウェアなどによる不審な挙動を検知すると、アラートやレポートで管理者に即座に通知します。脅威の解析や感染したエンドポイントの隔離、侵入経路の調査や影響範囲の特定も、EDRの管理画面などから対応が可能です。中には一連の作業を自動化できるソリューションもあり、より効率的なセキュリティ対策が実現できます。
EDRのメリット
EDRのメリットとして、以下のような点が挙げられます。
・マルウェア感染を素早く検知できる
・マルウェアの侵入経路や影響範囲の特定が容易
・事後対応がスムーズになる
それぞれのメリットについて、詳しく解説していきます。
マルウェア感染を素早く検知できる
EDRは、マルウェアの感染を素早く検知するためのソリューションです。マルウェアに気付かずにいると感染が拡大し、大きな被害につながる恐れがあります。アンチマルウェアソフトが高度化しても、全てのマルウェアを防げるとは限りません。EDRはエンドポイントのログを取得して常時監視を行い、アラートを発してマルウェアの侵入を伝えてくれます。
マルウェアの侵入経路や影響範囲の特定が容易
EDRは、マルウェアに感染した後の対応を素早く実施するのにも役立ちます。EDRはログを取得しているため、マルウェアの侵入経路や影響範囲の特定にも役立ち、その後の対策や対応につなげることができます。
事後対応がスムーズになる
EDRを利用することで、事後対応も効率的に進めることができます。EDRの中には、マルウェアに感染したエンドポイントの修復まで実行できる製品もあります。例えば、SentinelOneの「SentinelOne Endpoint Protection Platform」は、マルウェア本体の隔離やファイルの修復、ランサムウェアに暗号化されたファイルの復旧など、高度な事後対応を簡単に実行できます。
https://cn.teldevice.co.jp/product/sentinelone-endpoint-protection-platform/
EDRの選び方と導入時の注意点
ピンチアウトで拡大
近年、多くのEDRソリューションが提供されています。ここでは、EDRを選ぶ際のポイントと導入時の注意点について解説します。組織のソリューション選びの参考にしてみてください。
EDRを選ぶ際のポイント
EDRを選ぶ際のポイントとして、以下の4つが挙げられます。
・製品タイプ
・提供形態(クラウド・オンプレミス)
・検知・分析精度
・導入・運用コスト
製品タイプ
1つ目のポイントは、EDRの製品タイプです。EDRには、大きく分けて3つのタイプがあります。「EDRに特化したタイプ」「EDRとEPPを兼ね備えたタイプ」「EDRとEPPに加え資産管理もできるタイプ」の3つです。
EDRに特化したタイプは、既にEPPを導入している企業など、マルウェアの検知や対応を強化したい組織におすすめです。EDRとEPPを兼ね備えたタイプは、侵入の予防から検知・対応まで一挙に対応できるソリューションです。マルウェア対策全般を強化したい組織におすすめです。資産管理もできるタイプは、内部からの情報流出などを抑止するため、Webサイトへのアクセスなどを制御する機能が付いています。
製品タイプによって、対応可能な範囲や提供されている機能が異なります。組織に必要な機能を把握し、要件を満たしている製品を選択しましょう。
提供形態(クラウド・オンプレミス)
2つ目のポイントは製品の提供形態です。近年のITソリューションの多くには、クラウドかオンプレミスか、という提供形態の違いがあります。
ほかのITソリューションと同じく、EDRに関しても近年はクラウドが主流です。インターネットを介して管理ができるため、社内に設置された端末も管理できるのが大きなメリットです。リモートワークが普及している昨今、クラウド型のEDRを導入している企業が増えつつあります。基本的にはクラウド型のEDRを優先して検討し、必要があればオンプレミスのEDRも候補に加えると良いでしょう。
検知・分析精度
3つ目のポイントは検知・分析精度の高さです。セキュリティソリューションを選ぶ際には、既知のマルウェアだけでなく、未知のマルウェアも検知できるかどうか、どの程度の精度の高さで検知できるかがポイントになります。
例えば、SentinelOneの「SentinelOne Endpoint Protection Platform」は、高い検知能力が実証されたEDR+EPP製品です。実際のサイバー攻撃と同じ手法を用い、様々なハッキング攻撃の検証テストや修復、対応検証を行った結果、全ての攻撃に対し完璧な検知が実証されています。
https://cn.teldevice.co.jp/product/sentinelone-endpoint-protection-platform/
導入・運用コスト
4つ目のポイントは導入・運用コストです。製品によって、課金制度や料金プランは異なります。企業の規模によってコストにも差が出るため、自社で導入する際のコストがどの程度になるか、ベンダーに相談する必要があります。
また、経済的なコストだけでなく、運用の手間や必要なリソースにも注意が必要です。作業を自動化できる製品や、管理画面の操作が簡単な製品など、運用管理にコストがかかりにくい製品を選ぶことをおすすめします。
EDR導入時の注意点
ここでは、EDRを導入する際の注意点について解説します。EDRを導入する際は、以下のようなポイントに注意しましょう。
・環境への負荷
・ほかのセキュリティ製品との併用
各ポイントについて、より詳しく解説していきます。
環境への負荷
1つ目の注意点は、既存のシステム環境への負荷です。EDRを導入することで、システム環境に負荷がかかる恐れがあります。優れたソリューションであっても、端末やネットワークに大きな負荷をかけてしまうようでは、通常の業務に影響が出てしまいます。
EDRを導入する際は、現在のシステム環境を踏まえて慎重に検討する必要があります。自社内では検討が難しい場合は、ベンダーに相談しながら導入を進めると良いでしょう。
ほかのセキュリティ製品との併用
基本的に、EDRだけでは十分なセキュリティ対策にはなりません。EDRはあくまでもエンドポイントのマルウェア感染を検知し対応につなげるためのソリューションのため、侵入を未然に防ぐためのEPPや、システム環境全体を監視するSIEMなどと組み合わせた運用がおすすめです。ほかのセキュリティソフトウェアと組み合わせる場合は、相性の問題でソフトウェアの動作が不安定になる場合もあります。EDRとEPPを導入する場合は、同じベンダーの製品を使うと良いでしょう。
SentinelOneの「SentinelOne Endpoint Protection Platform」は、EDRとEPPが1つになったセキュリティソリューションです。防御から検知・対応まで、マルウェア対策に必要な全ての機能を1つのエージェントで実現できるのが魅力です。マルウェア対策全般を見直し、強化したい企業の方はぜひ導入をご検討ください。
https://cn.teldevice.co.jp/product/sentinelone-endpoint-protection-platform/
まとめ
ピンチアウトで拡大
この記事では、EDRについて解説しました。EDRは、パソコンやサーバーなどの各エンドポイントのログを収集し、不審な挙動を検知して管理者に知らせるソリューションです。マルウェア感染を未然に防ぐことを目的としているEPPとは異なり、マルウェア感染に素早く対応し被害の拡大を防ぐことを目的としています。
EDRを導入する際は、製品タイプや検知・分析精度、コストなどに注目して選択すると良いでしょう。おすすめのEDRは、SentinelOneの「SentinelOne Endpoint Protection Platform」です。EDRとEPPが一体となったソリューションで、防御から事後の対応まで1つのエージェントで対応できます。優れた検知能力が実証されているほか、マルウェア感染後の対応や復旧にも強みがあるソリューションで、効果的なセキュリティ対策が期待できます。
EDRを導入する際は自社のシステム環境や予算などを考慮する必要があります。EDRの導入を検討している方は、ぜひ東京エレクトロンデバイスにご相談ください。
https://cn.teldevice.co.jp/whitepaper/edr_epp1910/
https://cn.teldevice.co.jp/product/sentinelone-endpoint-protection-platform/