EDRとアンチウイルスの違いとは マルウェア対策に欠かせない二つのソリューション
情報セキュリティ対策のソリューションには様々なものがありますが、EDRは、近年注目を集めるものの一つです。
EDRは、マルウェア(コンピュータウイルス)からエンドポイントを保護するソリューションであり、それだけ聞くとアンチウイルスソフトウェアに含まれるように感じられますが、実は、アンチウイルスソフトウェアとは一線を画すものです。
本記事では、そんなEDRについておさらいしつつ、アンチウイルスソフトウェアとの違い、それから、両者の共存関係について解説します。
目次
EDRについておさらい
EDR(Endpoint Detection and Response)は、直訳すると、「エンドポイントの検知と対応」です。エンドポイントは、PC、スマートフォン、サーバといった端末のことで、すなわち、PCやスマートフォン、サーバーといった端末におけるマルウェアの検知・分析・対応にあたるソリューションの事です。
EDRは基本的に24時間365日エンドポイントを監視、マルウェアと思しき不審な兆候を発見したら、即座に管理者にアラートを発報、迅速な分析・対応を可能にします。
EDRの仕組み・機能
先述の通り、EDRは継続的なエンドポイントの監視によってマルウェアを対策するソリューションですが、その仕組みは大きく4つに分けられます。下記です。
- 検知
- 隔離
- 調査
- 復旧
検知
EDRは、エンドポイントを常時監視し、ログを収集・解析し続けています。
その中で、マルウェアにみられる異常な挙動を検知し、レポートやアラートの形で即座に管理者に知らせます。
検知の方法としては、既知のマルウェアのプログラムやあらかじめ定義された挙動と照合する場合もありますが、機械学習によってマルウェアの特徴を学習、自動検知するため、未知のマルウェアでも検知可能であることが大きなベネフィットです。
隔離
マルウェア感染が発覚したデバイスのネットワークからの隔離が可能です。
EDRは、マルウェアを検知したプログラムを即座に停止させ、その間、セキュリティ管理者やユーザが当該端末をネットワークから遮断します。
これにより、マルウェア感染を当該端末内に封じ込め、組織内での感染拡大および被害の拡大を防止します。
調査
EDRはエンドポイント端末のログ情報を収集・解析し続けているため、不審な挙動をするプログラムを発見した場合、その動作履歴や侵入経路を調査することができます。
もし、組織内で被害が拡大してしまった後だとしても、感染した端末を特定し、被害範囲を割り出すことも可能です。
製品にもよりますが、こうした調査が自動化されているものもあるので、EDRを選ぶ際の参考にしてみてください。
復旧
EDRは、エンドポイント内のマルウェアを検知、隔離したのち、駆除することもできます。
そして、マルウェアの駆除や感染データの削除が実行されれば、当該端末も正常に利用することができるようになります。
この、復旧、というのがポイントで、例えば、マルウェアの駆除に時間がかかってしまい、感染が拡大しすぎてしまった場合、エンドポイントの初期化が必要になる場合もありますし、そもそも迅速な復旧ができなければ業務に悪影響が出てしまいます。
EDRによる迅速な復旧は、もはや必須とも言えます。
EDRについて詳しくは「EDRとは 意味やウイルスソフトやUTMとの違いを解説」を参照してください。
EDRとアンチウイルスの違い
では、EDRとアンチウイルスの違いは何かというと、それは「カバー範囲」です。
EDRは、先述の通り、エンドポイントに侵入したマルウェアを振る舞い(挙動)で検知・分析して隔離するソリューションです。
一方で、一般的なアンチウイルスは、マルウェアがエンドポイントに侵入するのを防止するソリューションです。
EDRがエンドポイント内部でのマルウェア対策にあたる「エンドポイントセキュリティ」であるのに対し、アンチウイルスはエンドポイント内外の境界でのマルウェア対策にあたる「ゲートウェイセキュリティ」と呼ばれます。
EDRの登場背景
ここまで読むと、アンチウイルスがあればエンドポイントへのマルウェア侵入を防いでくれるので、EDRは不要なのでは? と思ってしまうかもしれません。
境界での防御ができれば、内側での警備は不要なのではないか。
しかし、この境界での防御も万全ではありません。
アンチウイルスで防ぎきれない脅威
アンチウイルスは、一般的にはパターンマッチングという仕組みでマルウェアを検知しています。これは、監視対象のソフトウェアやファイルが既知のマルウェアと同一ないしは類似のプログラムのパターンを有しているときに検知できる仕組みです。
近年、AIの発達やサイバー攻撃のビジネス化により、マルウェアは日進月歩に高度化・巧妙化を進めており、毎日無数に未知のマルウェアが生み出されていますし、中には、自身を暗号化することでプログラムを隠すマルウェアも存在します。
こうした状況で、パターンマッチングによる境界防御では脅威が防ぎきれなくなってきています。
振る舞い検知・機械学習のエンドポイント保護
これに対し、EDRでは、振る舞い検知という仕組みでマルウェアを検知します。
これは、不審な挙動をしている対象をマルウェアだとみなす仕組みで、その判断は機械学習によってなされます。
従って、仮にそのマルウェアが未知のものであっても検知することが可能であり、アンチウイルスで防ぎきれなかったマルウェアの検知・分析・隔離が、それも迅速に可能になります。
EDRが登場した背景には、アンチウイルスで防ぎきれない膨大な未知のマルウェアの存在と、それらへの対応の必要性がありました。
[関連]MDRとは?
また、EDRと関連したソリューションに、MDR(Managed Detection and Response)があります。
MDRは、エンドポイントやネットワークの監視・検知、インシデント対応を行うソリューションで、迅速なマルウェア対応にあたることができます。
EDRはエンドポイントの監視・検知・対応を目的としたソリューションであるのに対し、MDRは組織のIT環境全体を監視・管理してくれるソリューションです。
そのため、EDRはMDRパッケージの一環として組み込まれている場合も多くあります。
EDR、MDRその他類似ソリューションの違いについては「MDRとEDRの違いとそれぞれの特徴を解説 必要性や導入のアドバイスまで」を参照してください。
EDRとアンチウイルスの共存について
EDRとアンチウイルスは、どちらか片方ではなく両方とも導入することが最も効果的かつ一般的です。
先述の通り、アンチウイルスだけの導入では未知のマルウェアに対応することができず、一度マルウェアの侵入を許してしまえば、組織全体に甚大な被害が出てしまいます。
また、EDRだけの導入では、侵入の水際での阻止はできませんし、マルウェアの検知・アラートに遅れが生じれば取りつく島もありません。
EDRとアンチウイルス(EPP)については「EPPとEDRの違いとは 両者の比較と組み合わせの効果についても解説」で詳説していますので、参照してください。
まとめ
EDRとアンチウイルスの違いや共存について解説しました。
必ず、EDR、アンチウイルス、その他セキュリティソリューションを組み合わせて堅牢なマルウェア対策をしましょう。