EDRについてわかりやすく解説 機能や構造から運用まで
情報セキュリティ分野で近年よく耳にするようになったEDRですが、いったいどんなものなのか、ご存知でしょうか。
本記事では、EDRについて機能や仕組みについて技術的な側面も踏まえて解説しつつ、製品の選び方や運用のポイントまでご紹介します。
EDRについて高度・詳細な解説は「EDRとは 意味やウイルスソフトやUTMとの違いを解説」を併せて参照してください。
目次
EDRの基礎的解説
EDR(Endpoint Detection and Response)は、エンドポイントにおけるサイバー攻撃やマルウェアの脅威を検知・分析し、迅速な対応を促すセキュリティソリューションです。
年々複雑化・高度化するサイバー攻撃に対し、企業・組織のエンドポイント保護及び内部での感染拡大防止に役立ちます。
EDRの4機能と3ステップ
EDRの4機能
EDRの機能は、大きく分けて下記の4つがあります。
- 検知
- 隔離
- 調査
- 復旧
検知
エンドポイントにおける動作ログを24時間365日監視し続け、不審な挙動をするソフトウェアやファイルをマルウェアとして検知します。
その際、管理者へアラートを発報し、その後の対応の判断や実行を促します。
隔離
マルウェアを検知したエンドポイントをネットワークから遮断する、アカウントを無効化する、といった方法でマルウェアを隔離します。
これにより、マルウェアがネットワークを通じて組織内の他のエンドポイント等に広がり、被害が甚大になるのを防ぎます。
調査
そののち、EDRは24時間365日取得していたログの中から当該マルウェアに関するものを拾い上げ、調査・分析にあたります。
当該マルウェアの挙動がどんなものであったか、どんな経路で侵入したか、被害の程度や感染範囲などを分析し、マルウェアの駆除に努めます。
復旧
マルウェアの駆除が完了したら、復旧完了です。
3ステップ
上記の4機能、検知・隔離・調査・復旧を分かりやすく言えば、
- エンドポイントを常に監視し、
- その中で不審な挙動をするプログラムを発見したら、
- そのプログラムを隔離・駆除する
という3ステップになります。
いわば、エンドポイントへの侵入者を摘まみだす警備員のような役割です。
EDRの技術的な仕組み
少し、技術的な見方をしてみましょう。
EDRの技術的な仕組みとしては、下記が上げられます。
EDRエージェントによるログ収集
EDRには、EDRエージェントと呼ばれるソフトウェアが含まれており、これがエンドポイントの挙動を監視・記録し、EDRプラットフォームへとそのデータを転送します。
EDRエージェントはマルウェアの活動履歴、システムの変更履歴、ユーザによる入出力操作などありとあらゆる情報を記録するため、緻密な検知が可能であるのと同時に、検知時の迅速な分析・対応も可能になります。
ちなみに、エージェントは非常に軽量な動作であるため、エンドポイントのパフォーマンスへの影響はかなり少ないと言われています。
機械学習による異常検知
EDRエージェントからEDRプラットフォームに送られたデータは、AIや人間による監視・以上検出が行われます。
ここでは、機械学習の技術が取り入れられており、マルウェアの詳細情報、攻撃の型、影響を受けている/今後受ける可能性のあるエンドポイントの範囲、攻撃の進行状況などを含んだ通知を管理者に送信することができます。
EPPとの違いとEDRの必要性
EDRとよく並べられる概念として、EPPがあります。
EPP(Endpoint Protection Platform)はアンチウイルスと呼ばれるソリューションの一つで、EDRと同じくエンドポイントにおけるマルウェア感染やサイバー攻撃の被害を防止するソリューションです。
EPPとEDRの違い
EPPとEDRの違いは、そのカバー範囲にあります。
EDRは、エンドポイント内部を監視し、そこにおける不審な挙動を検知することで、マルウェアの発見・駆除にあたるソリューションでした。
一方で、EPPは、エンドポイントの内側と外側の境界を監視し、マルウェアがエンドポイントの内側に入らないように防御する、というソリューションです。
EDRが侵入者をつまみ出す役割であるのに対し、EPPは門番として悪者が侵入できないようにする役割なのです。
境界型セキュリティとゼロトラスト・セキュリティ
従来のセキュリティの考え方は、どちらかというとEPPのような門番型の対策が主流でした。組織のエンドポイントやネットワークの内側と外側を明確に区別し、内側を安全に保つために外側からの攻撃を境界で防御するという、境界型のセキュリティ対策です。
しかし、近年、マルウェアやサイバー攻撃の高度化によって、境界で防御しきれない脅威が増えたことや、リモートワークやクラウドツールの普及によって内側・外側の区別があいまいになったこと、内部不正による脅威も増加してきたことなどにより、こうした境界型のセキュリティ対策だけでは不十分な状況になってきています。
そこで、ゼロトラスト・セキュリティの考え方が誕生しました。ゼロトラスト・セキュリティは、読んで字のごとく、何も信用しないというスタンスで、組織の内側・外側を区別せず、すべてに対して警戒するというセキュリティの考え方です。
EDRは、そうした中で、エンドポイントの内側においても警戒を向けるソリューションとして誕生しました。
EDRとEPPの違いについては「EPPとEDRの違いとは 両者の比較と組み合わせの効果についても解説」を参照してください。
EDR製品の選び方
EDR製品の選び方としては、やはり、自社のニーズとの整合性と機能性が肝心です。
自社のニーズ
EDRはあくまでソリューション、製品ですので、導入すること自体は目的ではありません。
解決したい課題が自社にあり、それを解決する手段としてソリューションが存在します。
マルウェアの検知を高精度で実施したい、検知し他マルウェアの分析が詳細なほうが望ましい、など、自社でのニーズを明確にしたうえで最適な製品を選択しましょう。
機能性
自社のニーズについて考えたとき、製品を選ぶ軸となるのは、やはり機能性かな、と思います。
下記の例を参考に、自社に合った製品を選択してください。
- 製品タイプ
- 提供形態
- 検知・分析精度
- 導入・運用コスト
これらの詳細も含めたEDR製品の選び方については「EDRのおすすめ製品と選び方のポイント」を併せて参照してください。
どこの国のメーカーか?
本社がどの起業家や、起業した人間がどの国か?は選定のポイントになります。
IT先進国の場合、サイバー攻撃の数も多く、また周辺に仮想敵国が多い国は常時サイバー攻撃を受けているので比例してサイバーセキュリティ人材が豊富に存在します。
EDRは米国が本社の「トレンドマイクロ」や「クラウドストライク」「サイバーリーズン」
スロバキアが本社の「ESET」
日本が本社の「FFRIセキュリティ」
などがあります。
なお、ロシア製のカスペルスキーは米国内での利用が禁止される計画がある為、
可能なら日本製やEU製などのEDRを利用する事をお勧めします。
EDRの運用のコツ
EDRの運用については、一定のリソースがかかることはご承知おきください。
EDRは24時間365日エンドポイントの監視をしてくれますが、それを監視する管理者も24時間365日体制で待機していなければ、導入の効果が半減してしまいます。
何故なら、せっかくEDRが迅速なマルウェア検知をしてくれても、管理者がそれへの対処を実行するのが遅れてしまっては、意味がないためです。
ここに関しては、SOC(Security Operation Center)の構築が一般的な方法です。
SOCは、高い専門性を有した分析者によるサイバー攻撃検出・分析機関として、企業・組織のセキュリティ対策をリードする存在です。
社内に設置する内部SOCと委託による外部SOCがあり、外部SOCはMSS(Managed Security Service)とも呼ばれます。
EDRとともにSOCがエンドポイントセキュリティを継続的に実施してくれます。
EDRとSOCの関係性については「EDRとSOCの違いと関係性を徹底解説 自社に最適なセキュリティソリューションを」を参照してください。
まとめ
EDRについて分かりやすく解説しました。
EDRは高度化・複雑化を続けるサイバー攻撃への対策として有効かつ不可欠です。
本記事が、より一層EDRへの理解を深め、貴社でのサービス導入検討のお役に立てますと幸いです。