EDRのおすすめ製品と選び方のポイント
サイバー攻撃の手法は年々高度化しており、PC・サーバのセキュリティ対策に求められるレベルも上がってきています。
そうした中で、EDR製品によるセキュリティ対策が注目を集めています。
本記事では、EDRの概要・機能等についておさらいするとともに、自社にあったEDR製品の選び方とおすすめのEDR製品をご紹介します。
EDRについておさらい
EDRとは
EDRは、Endpoint Detection & Responseの略で、デバイスの挙動を監視することで、脅威を検知・対処するセキュリティ対策です。従来型のソリューションのようにデバイスへの不正な侵入をブロックするのではなく、デバイスへの不正な侵入を迅速に検知して対応します。
近年のサイバー攻撃の巧妙化や働き方の変化に伴うセキュリティ対策の変容に伴い、注目が集まっています。
EDRの重要性
近年、普及している概念として、ゼロトラスト・セキュリティという考え方があります。
従来のセキュリティ対策では組織の外部からの不正アクセスやマルウェア侵入を防止するといういわゆる境界型セキュリティの考え方が一般的でしたが、近年のテレワークの普及などによって組織内・外の区別があいまいになってきていることや、マルウェア検知ソフトをすり抜けるマルウェアが増えてきていることから、境界での防御では限界になってきています。
そこで、組織内・外の区別なく全てのユーザ・デバイスを信頼せず、情報資産への全てのアクセスを警戒するゼロトラストの概念が必要になったのです。
そして、このゼロトラスト・セキュリティを実現するための具体的な手段として、侵入を前提としたEDRによるソリューションが不可欠なのです。
EDRについて詳しくは「EDRとは 意味やウイルスソフトやUTMとの違いを解説」をご覧ください。
EDRと他のソリューションの違い
EDRとよく比較される概念として、EPPやNGAVが挙げられます。それぞれ、違いとしては下記です。
EDRとEPPの違い
EPPは、Endpoint Protection Platform、直訳すると「エンドポイント保護プラットフォーム」です。エンドポイントすなわちPCやサーバのマルウェア感染を防止することを目的とした製品です。代表的な物としては、マルウェア検知ソフトなどが挙げられます。
先述の通りですが、EDRがゼロトラスト・セキュリティを実現するソリューションであるのに対し、EPPは境界型セキュリティを実現するソリューションと言って差し支えないでしょう。
EDRとNGAVの違い
NGAVは、Next Generation Anti-Virus、直訳すると「次世代ウイルス防止」で、未知のマルウェアも検出が可能なEPPです。EPPと同義とされることもあります。
従来型のEPPでは、既知のマルウェアの型をデータベースに集積しておき、ファイルやデータのプログラムがその型を含んでいた場合マルウェアとして検知するという、パターンマッチングの手法がとられることが一般的でした。一方のNGAVでは、プログラムの動作が不審であった場合にマルウェアとして検知する(振舞い検知)ため、未知のマルウェアも検出が可能である、ということです。
EPPと同様に、こちらも境界型セキュリティのソリューションであるため、ゼロトラスト・セキュリティのEDRとは異なった概念になります。
EDR導入のメリット・デメリット
EDRを導入するにあたっては、メリットもデメリットも存在します。
EDR導入のメリット
マルウェアの迅速な検知・分析が可能
マルウェアがデバイスに侵入してしまったとき、即座に活動を開始するマルウェアもありますが、数時間~長いものでは1週間以上、活動開始までの時間があり、24時間前後が一つの目安となっています。
これは、その分、検知が難しいということでもありますし、他方、その24時間の間にマルウェアを検出・排斥できれば被害を最小限に食い止められるということでもあります。
侵入したマルウェアをEDRが検知・分析し、管理者の速やかな対応を促します。
マルウェアの感染拡大防止に効果的
上記とひとつづきではありますが、デバイスで迅速にマルウェアが検知されれば、そのデバイスを迅速に隔離することができます。そのため、ネットワーク内の他のデバイスや重要情報まで不正アクセスが及ぶことを防止することができます。
このようなデバイスの隔離や、マルウェアを含むファイルの削除、プログラムの停止まで実行してくれるEDR製品もあります。
EDR導入のデメリット
導入コスト
EDRは基本的にデバイスの数に応じて料金が発生します。端末当たり数百円/月が一般的ですが、従業員が利用する端末すべてに導入するとなると、大きな金額になってしまいます。
また、EDRにはマルウェアの侵入を防止する機能はないため、先述のEPPやNGAVと組み合わせての利用が必須になり、その分のコストも考慮しなければなりません。
運用リソース
どんなソリューションにも当てはまることですが、継続的に利用するにあたって一定の運用リソースが必要になります。
EDRが検出した脅威に即時対応するために継続的な監視が必要になりますし、EDRの発するアラートが本当にマルウェアや不正アクセスによるものなのか、それとも単なる誤検知なのかを判断する知見や業務不可もかかります。
組織内に人材が不足している場合、外部委託も可能ですが、その分リソースも発生します。
自社に合ったEDRの選び方
では、EDRを実際に導入するにあたって何をみるべきなのでしょうか。
自社のニーズ
EDRは、あくまでソリューションですので、導入すること自体は目的ではありません。解決したい課題があり、その解決の手段としてEDRを導入します。まず、自社にはどんな課題があり、それをEDRではどうやって解決できるのか、を考えましょう。
例えば、マルウェアの検知を高い精度で実施したいのか、検知したマルウェアの詳細な分析がしたいのか、事後対応をスムーズに進めたいのか、など、自社でのニーズを明確に把握しましょう。
機能比較と選定ポイント
その上で、EDRの機能の比較と選定を進めるためにみるべきポイントとしては、下記です。
製品タイプ
EDRと一口に言っても製品タイプは様々であり、マルウェアの検知・分析といった基本的な機能を有するのみのものもあれば、EPPのように境界型セキュリティ的機能を持っている製品もあります。また、デバイスの機能制限が可能な製品もあります。
提供形態
オンプレミスでの提供なのか、クラウド提供なのか、というのが主な区別です。基本的にはクラウドのほうが管理のしやすさやインターネットを通じたことによる利便性があるため、主流です。
検知・分析精度
マルウェアの検知・分析精度は最も重要な項目です。ベンダー側での検証テストが重ねられているか、実際に未知のマルウェアも検知できるのか、を確認しましょう。
ただ、基本的には精度の高い製品ほど費用も高額になりますので、そこは自社に求めるセキュリティレベルや予算と相談して決めていきましょう。
導入・運用コスト
導入や運用にかかるコストやリソースもポイントです。社内にEDRを運用できる人員が確保できるか、そうでないならどのようにして確保するのかを決めましょう。あるいは、運用サポートのついた製品もありますので、予算に余裕がある場合はそうした製品を選ぶのも手です。
どこの国のメーカーか?
本社がどの起業家や、起業した人間がどの国か?は選定のポイントになります。
IT先進国の場合、サイバー攻撃の数も多く、また周辺に仮想敵国が多い国は常時サイバー攻撃を受けているので比例してサイバーセキュリティ人材が豊富に存在します。
EDRは米国が本社の「トレンドマイクロ」や「クラウドストライク」「サイバーリーズン」
スロバキアが本社の「ESET」
日本が本社の「FFRIセキュリティ」
などがあります。
なお、ロシア製のカスペルスキーは米国内での利用が禁止される計画がある為、
可能なら日本製やEU製などのEDRを利用する事をお勧めします。
おすすめEDR製品5選
Microsoft Defender for Endpoint/Business
Microsoftが提供しているEDRソリューションです。ユーザ当たり449円/月で比較的リーズナブルに利用可能で、1ユーザ当たり5台までデバイスの保護が可能となっています。
第三者テストもしっかり実施しており、MicrosoftはGartnerやMITRE、IDCなどから高い評価を受けていますので、信頼性も高く、導入企業も豊富です。
マルウェアの特定・検出はもちろん、デバイスの保護やマルウェア除去、復旧まで対応できます。
参考:Microsoft Defender for Business|Microsoft
Symantec Endpoint Security
EDRとEPPを組み合わせた製品です。Windows、Mac、Linux、iOS、Androidに対応しています。クラウドでの提供ですが、希望に応じてオンプレミスとのハイブリッド運用も可能です。エンドポイントの活活動状況をみてイベントを検出する機能や、機械学習による分析、標的型攻撃と思しき攻撃の自動検出など検出に強みがあります。また、エンドポイント内に囮を配置することで攻撃の阻害や迅速な検知を実現します。
費用はお問い合わせください。
参考:Symantec Endpoint Security|シマンテックセールスセンター(Symantec)
LANSCOPE サイバープロテクション
EDRとEPPを組み合わせた製品です。AIアンチウイルスソフトとAIエンジンからなる「CylancePROTECT」とディープラーニング技術を活用した「Deep Instinct」から自社のニーズに応じて選択可能です。2023年Trolly社のテストによるとマルウェア検知率99%を誇り、かなりの精度です。
「Deep Instinct」では予測脅威防御によってマルウェアを含んだファイルが実行される前の検知・隔離が可能です。
運用代行やレポーティングを含めたサポートが国内で受けられるのも強みとなっています。
費用はお問い合わせください。
参考:業界最高峰のAIアンチウイルス|LANSCOPE サイバープロテクション
SentinelOne
デバイスやクラウドに点在するすべての企業データを一元管理することができます。AI搭載のEDRとして、データの保護が可能です。
対応プロセスの自動化なども含めた統合的なソリューションが強みで、セキュリティ担当者の時間的コスト削減を実現します。
過検知や誤検知を防止するホワイトリスト登録や24時間365日の問い合わせ対応などのサポートも充実しています。導入・運用代行も対応しています。
費用は1ライセンス当たり6,000円/年です。
参考:センチネルワン|エンタープライズ セキュリティ AI プラットフォーム
EISS
沖縄に本社を置く株式会社セキュアイノベーションが提供するEDR製品です。中堅・中小企業向けのソリューションとして、週1回の定期診断でセキュリティ被害の最小化を実現します。その際、分析レポートの発行や、管理画面でのログ・アラートの確認が可能です。
ログや揮発性データを90日間保管してくれるため、被害発生時の調査活動が緻密に実施できます。
その他、ヘルプデスクによるサポートも対応していますので、安心です。
PC1台当たり1,800円/年です。
参考:サイバー攻撃早期発見サービス EISS(アイズ)で情報漏洩対策・事後対策 – 株式会社セキュアイノベーション
まとめ
EDR製品は、ゼロトラスト・セキュリティを実現するためのソリューションの一つです。自社のニーズに合った製品を選択し、導入の効果を最大化できるようにしましょう。
各ソリューションでは、1か月程度の無料トライアルが用意されていますので、余裕がある場合は試してみるというのもおすすめです。