EDRとは？未知のサイバー攻撃から端末を守る対策を知る

EDRとは、Endpoint Detection and Responseの頭文字を取ったもので、日本語では「エンドポイント検出応答」などと訳されます。エンドポイント、つまりパソコンやタブレット、スマートフォンといった端末において監視を行い、サイバー攻撃などの異常を検知した場合に管理者に通知し、解析やネットワークの遮断、プログラムの終了といった対応まで行ってくれます。

EDRは、サイバー攻撃が高度化・巧妙化する中で既存のウイルス対策ソフトウェア（AV/EPP）やマルウェア検知ソフトウェア（NGAV/NGEPP）などでは防げない未知のマルウェアなどの被害から端末や情報を守るために求められるようになりました。

本コラムでは、EDRの概要や、EDRで得られる効果などについてご紹介いたします。

【関連記事】

EDRとは

EDRとは、Endpoint Detection and Responseの頭文字を取ったもので、日本語では「エンドポイント検出応答」「エンドポイントでの検出と対応」などと訳されます。
エンドポイント、つまりパソコンやタブレット、スマートフォンといった端末において監視を行い、サイバー攻撃などの異常を検知した場合は管理者に通知し、解析やネットワークの遮断、プログラムの終了といった対応まで行ってくれます。

EDRから通知を受けた管理者は、管理画面から詳細を把握し、すぐさま原因や影響範囲を調査に取りかかれます。EDRにはこうした管理者の調査をサポートするような可視化機能を持ったものもあります。

EDRと従来型アンチウイルスの違い

アンチウイルス（Anti-Virus）は、コンピュータウイルスが端末へ感染するのを防止したり、感染した場合に駆除して被害を最小限に抑えたりするシステムのことです。似たものにEPP（Endpoint Protection Platform）があり、こちらもウイルスの侵入を食い止めてくれます。どちらもデータベースに登録された既知のウイルスを防げますが、未知のウイルスは検知できません。

未知のウイルスも検知できるよう、振る舞い検知や機械学習といった技術が活用されたのがNGAV（Next Generation Antivirus）やNGEPP（Next Generation Endpoint Protection Platform）です。ただ、NGAV/NGEPPもすべてのマルウェアを検知できるわけではありません。

そこで登場したのがEDRです。従来型アンチウイルスが主に感染前の検知に比重を置いた製品であるのに対し、EDRは主に感染後の駆除に比重が置かれており、NGAV/NGEPPでは防ぎ切れないマルウェアに対策できます。

EDRの重要度が高まった理由

前述のように、サイバー攻撃の高度化・巧妙化により、従来のアンチウイルスやEPP、NGAV/NGEPPでは防ぎきれないマルウェア攻撃から防御するために求められるようになったEDRですが、昨今の新型コロナウイルス感染拡大の影響でテレワークが推奨されるようになったことが、さらに拍車をかけています。

オフィスでデスクトップパソコンだけを使って業務を行っていた時に比べると、テレワークでは会社から貸与したパソコンやタブレット、スマートフォンのほか、従業員の私物を使ったBYODなど、業務に利用する端末の数が激増します。サイバー攻撃などによる情報漏えいのリスクも上がるため、EDRによるセキュリティ対策が求められるのです。

また、新型コロナ禍以前から、働き方改革の推進などにより、働くスタイルや時間が柔軟に変化したり、生産性向上が求められるようになり、よりコミュニケーションが活性化し、アイデアが生まれることが期待されるフリーアドレス席やリモートワークを導入する企業も増え、業務に利用される端末数は増加傾向にありました。
こうした背景から、EDRの重要度は高まっているといえます。

EDRで実現できること

では、実際にEDRを導入することで、セキュリティ面でどのような効果が期待できるのでしょうか？

被害の拡大を最小限に抑制できる

EDRは、マルウェアを端末に感染させないようにする製品ではなく、感染してしまうことを前提として対策を行う製品です。もし、ある端末が感染した場合は、その端末の中で駆除したりシャットダウンしたり、ネットワークを遮断することで、ネットワーク経由で感染が拡大することを防ぎ、被害を最小限に食い止めます。

マルウェア侵入経路や被害状況を可視化できる

EDRには感染に関する分析機能が付いており、侵入経路や被害の範囲といった状況を可視化する機能が付いています。このため、管理者は被害状況をすばやく把握できるようになり、スピーディな対処につながります。

また、可視化された情報を、今後のセキュリティ対策の改善に役立てることも可能です。

原因が明確になる

EDRのログ機能や分析機能により、インシデントが発生した際、その原因が明らかになります。これにより、インシデントの説明責任を果たせるようになるとともに、今後のセキュリティ対策改善にもフィードバックできます。

未知のマルウェアに対して対策ができる

「EDRと従来型アンチウイルスの違い」でもお伝えしたように、既知のウイルスを対象としたアンチウイルスやEPPや、未知のウイルスを検知できるNGAV/NGEPPで、すべてのマルウェアを防ぎ切れるわけではありません。
また、世界中の攻撃者が日々、既知のマルウェアの亜種や新たなマルウェアを生み出しており、マルウェアに感染しないための対策から、感染することを前提とした対策へとシフトしていく必要があります。

EDRは、感染後の対策に比重を置いたセキュリティソリューションなので、未知のマルウェアへの対策に最適です。

まとめ

EDRに関する基本的な情報をまとめてご紹介しました。
EDRは、従来のアンチウイルスやEPPや、NGAV/NGEPPでは感染を防ぎ切れないマルウェアへの対策となります。マルウェア等の侵入を100％防ぐことはできないので、侵入された際に重要なデータが窃取されないよう、侵入された後の対策としてEDRが有用です。

ただ、EDRだけ一つあれば万全というわけではなく、ファイアウォールやアンチウイルス、IPS/IDSなどと併用してセキュリティ対策を講じることが大切です。

アイネスでは次世代型マルウェア対策ソフトとして、AI搭載により既知・未知を問わず脅威を検出・防御できる「BlackBerry Protect（旧CylancePROTECT）」を提供しています。
製品情報は以下よりご覧ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。