EDRとは 意味やウイルスソフトやUTMとの違いを解説
EDRはEndpoint Detection and Responseの略で、ユーザーが利用するサーバやパソコン、モバイル端末のマルウェア防御とマルウェア感染検知、ログ分析を行う情報セキュリティのITソリューションです。この記事では専門家がEDRとは?の解説やウイルスソフト、UTMとの違いを解説します。
目次
EDRとは?
EDRはEndpoint Detection and Responseの略で、ユーザーが利用するサーバやパソコン、モバイル端末のマルウェア防御とマルウェア感染検知、ログ分析を行う情報セキュリティのITソリューションです。
米国の調査会社「Stratistics MRC」によるとオンプレミスとクラウドベースの両方の EDR ソリューションの売上高は、2026 年までに 72 億 7000 万ドルに達し、年間成長率は約 26% になると予想されています。
EDRが普及した背景
EDRが普及した背景は以下です。
リモートワークの普及
コロナウイルス蔓延によりリモートワークが普及し、様々な端末がインターネット回線に繋がりました。それにより防御すべき端末が増加した事と、サイバー攻撃者の攻撃ニーズが増加し様々な手法で攻撃を行うようになりました。
EDRは端末をマルウェアやランサムウェアから防御できるソリューションですので、EDRが注目されました。
未知のマルウェアの増加
ウイルスソフトはシグネチャー型の防御を行いますので、サイバー攻撃者はウイルスソフトに検知されないマルウェアやランサムウェアを開発します。
従来のウイルスソフトでは未知のマルウェアを検知できなくなったので、EDRが普及しました。
EDRの機能
EDRの機能は以下になります。
脅威の検知
EDRは以下のような情報から脅威を検知します。
・シグネチャマッチング
・脅威情報とのマッチング
・ネットワーク通信
・メモリ
・レジストリの操作
・ファイル操作
脅威への隔離・遮断
脅威を検知するとEDRは以下のような動作を行います。
・指定アカウントへ通知
・脅威感染の恐れのある端末を遮断
・アカウントの無効化
・通信遮断
・プロセスの遮断
脅威の分析とレポート
脅威感染した場合、EDRは以下の分析とレポーティングが行えます。
・侵入経路
・攻撃の目的
・使用されたマルウェアの内容や動作
・被害状況
ウイルスソフトとEDRの違い
ウイルスソフトは、エンドポイントへのマルウェア感染を未然に防ぐ事を目的としておりダウンロードしたファイルが悪意のある動作をした場合は、検知が難しくなっています。
具体的にいうと、ウイルスソフトはマルウェアの動作やコードをシグネチャ化し、パターンにマッチしたファイルを端末にダウンロードさせないようにしているパターンマッチングを採用しています。
このパターンマッチングはシグネチャに該当しないと、マルウェアとして検知されません。
また、ウイルスソフトはダウンロードしたファイルをサンドボックスで動作させ、サンドボックス内でマルウェア的な動作をしないか調査する機能もありますが、サンドボックス内の調査はファイルダウンロード時とウイルスソフトのスキャンスケジュールに沿って実行されるので、長期間潜伏するマルウェアの検知は対応できませんでした。
一方EDRはマルウェアに感染した後の検知、防御、復旧を目的としており、
マルウェアやランサムウェアなどの脅威動作がないか常時監視します。
そして、EDRのAI機能や脅威情報と連携してマルウェアの動作を検知し、マルウェアに感染した場合は
アラートを上げ、端末をシャットダウンしたり遮断します。
UTMとEDRの違い
UTMは組織全体のネットワークをマルウェアやランサムウェアから防御し、EDRは各端末でマルウェアやランサムウェアから防御しますので、役割と範囲が変わってきます。
UTMは脅威の可能性のあるIPからの接続や、フィッシングサイトへの接続切断、C&Cサーバへの接続検知などを行いますが、端末に侵入したマルウェアの検知までは行えません。
UTMの必要性が叫ばれていますが、ゼロトラスト思想を基にした情報セキュリティ対策を行おうとするとネットワークと端末の両方を防御する必要があるため、両方導入する必要があります。
なぜEDRが必要なのか?
EDRが必要な理由は以下になります。
従来のウイルスソフトではマルウェアから防御できなくなっている
1. 従来のアンチウイルスソフトはパターンマッチング型である
ウイルスソフトは、シグネチャによるパターンマッチングを採用している為標的型攻撃やゼロデイ攻撃に利用されるマルウェアやランサムウェアを検知する事ができません。
2. ファイルの振る舞い検知と監視機能が弱い
ウイルスソフトは、ファイルやプログラムの動作を検知・監視する機能が弱く、マルウェアが実行されると検知する事ができません。
一方EDRはファイルの振る舞い検知、監視、遮断に対応できます。
EDRの選定ポイント
EDRの選定ポイントは以下です。
どこの国のメーカーか?
本社がどの起業家や、起業した人間がどの国か?は選定のポイントになります。
IT先進国の場合、サイバー攻撃の数も多く、また周辺に仮想敵国が多い国は常時サイバー攻撃を受けているので比例してサイバーセキュリティ人材が豊富に存在します。
EDRは米国が本社の「トレンドマイクロ」や「クラウドストライク」「サイバーリーズン」
スロバキアが本社の「ESET」
日本が本社の「FFRIセキュリティ」
などがあります。
なお、ロシア製のカスペルスキーは米国内での利用が禁止される計画がある為、
可能なら日本製やEU製などのEDRを利用する事をお勧めします。
脅威情報の量と質
EDRは前述した通り、脅威情報のデータベースとのマッチング機能が存在します。
この脅威情報は共有されているものもありますが、メーカー独自の情報もあり
メーカーの各種調査レポートや発信量からメーカーの独自情報を確認します。
レポートの見易さ
前述した通り、EDRメーカーは海外製品も多くUIが日本人好みでなかったり、翻訳が見辛かったりします。レポートの見易さは生産性に直結するので選定する際は非常に重要です。
価格
何人毎のライセンスでいくらになるか?の価格も重要な要素です。