近年、巧妙化するサイバー攻撃の被害にあった企業や団体のニュースを頻繁に目にするようになりました。従来のウイルス対策ソフトでは太刀打ちできない高度な攻撃から自社を守るためには、より高度なセキュリティ対策が必要です。

EDRは、そのような状況下で注目を集めているセキュリティソリューションの1つです。しかしまだよく知られてはいません。そこでこの記事では、そもそもEDRとは何なのか？どんなメリットがあるのか？どのように運用すればいいのか？など、EDRに関する基本的な情報をまとめてお届けします。

これからセキュリティ対策を強化していきたい企業の担当者の方は、ぜひ参考にしてください。

〈この記事を読んでわかる内容〉

EDRを知る前にEPPについて知っておく必要があります。

EPPは、Endpoint Protection Platformの略で、いわゆる従来のウイルス対策ソフトを指します。主に予防に焦点を当て、ウイルスやマルウェアの侵入を防ぐことが目的です。

仕組みとしては、あらかじめ危険なウイルスやマルウェアのリストを持っておき（シグネチャといいます）、アクセスしようとするソフトウェアがそのパターンに一致する場合に、アクセスを遮断します。

世界中からシグネチャを集めているので、かなり幅広いマルウェアを検知することができますが、遮断できるのはあくまで既知のマルウェアに限ります。シグネチャを持っていない新種・亜種のマルウェアは検知できません。

一方、EDRはEndpoint Detection and Responseの略で、マルウェアに侵入された後に、被害を最小限にするためのソリューションです。EPPは、入口で検査するのみで、入ってしまった後は何もできません。EDRは、すべてのマルウェアの侵入を完全に防ぐことはできないという前提に立ち、侵入されることを想定しています。

EDRは、マルウェアの侵入後の挙動を監視し不適切な挙動を観測すると、直ちに対処を行います。侵入されても被害を最小限に食い止めるということです。EPPが侵入を防ぎきれなかった場合でも、EDRがその後の対応をカバーできるので、両者を併用することで、より強固なセキュリティを実現することができます。

近年、EDRはますます注目を集めています。その理由はいくつかありますが、代表的なものを以下に記載します。

従来のセキュリティ対策（EPP）では、検知が難しい標的型攻撃や未知のマルウェアなど、高度で巧妙化されたサイバー攻撃が増加しています。EDRは、エンドポイント（PC、スマホなどユーザーが実際に操作するデバイス）の挙動を常に監視し、不審な動きを早期に検知・分析することで、これらの高度な攻撃に対応できます。

テレワークの普及により、社内ネットワークの外で業務を行う人が増加し、セキュリティリスクが高まっています。EDRは、ネットワークの内外を問わず、エンドポイントを一元的に監視し、保護することができます。

テレワークの普及に伴い、クラウドサービスの利用も拡大しています。これにより、閉じられた社内ネットワークではなく、外部に開かれたインターネットに接続する機会が増え、セキュリティリスクが高まっています。EDRは、ネットワークの内外を問わずに、クラウドに接続されたエンドポイントも保護することができます。

EDRを導入することで、セキュリティレベルを高めることができるのは前述したとおりです。ここからは、EDRが持つ強みを具体的にご紹介します。

EDRは、エンドポイントにおけるプロセス、ファイル、レジストリ、ネットワーク接続などの挙動をリアルタイムで監視し、詳細なログを収集・分析します。これにより、従来のセキュリティ対策では見逃されがちな、標的型攻撃、ランサムウェア、APT（Advanced Persistent Threat）などの高度な脅威を早期に検知できます。

EDRは、脅威の検知だけでなく、その根本原因、影響範囲、感染経路などを迅速に特定するための情報を提供します。これにより、セキュリティ担当者は、迅速かつ的確な対応策を講じることができます。また、自動化された対応機能（隔離、遮断、修復など）により、インシデント対応の効率化も図れます。

EDRは、過去の攻撃事例やセキュリティインテリジェンスを活用し、潜在的な脅威を能動的に探索する「脅威ハンティング」を支援します。セキュリティ担当者は、EDRの豊富なデータと分析機能を用いて、組織内のセキュリティギャップを特定し、能動的な対策を講じることができます。

EDRは、エンドポイントにおけるマルウェア対策、脆弱性対策、不正アクセス対策など、多層的な保護を提供します。これにより、単一のセキュリティソリューションでは対応できない複合的な攻撃に対しても、包括的な防御体制を構築できます。

EDRは、エンドポイントにおけるセキュリティポリシーの遵守状況を監視し、違反行為を検知します。また、監査に必要なログデータを収集・分析し、コンプライアンス遵守を支援します。

あらゆるセキュリティ対策は、導入して終わりということはなく、正しく運用されて初めて効果を発揮します。EDRも例外ではありません。EDRの運用を行う上で意識したいポイントには、以下の点が挙げられます。

EDRを効果的に運用するためには、セキュリティに精通した人材や、そのような人材によって構成される組織を編成することが重要です。ツールの操作や分析に関する専門スキルを持った人材がいなければ、EDRの機能を十分に活かすことはできません。

特に、24時間365日の運用体制を維持しようと思うと、相応の人員が必要です。外部から獲得するだけでなく、自社で育成できる体制を整えることができれば、継続的に人材を確保することができるようになります。

EDRを最適に運用するためには、定期的なチューニングが必要です。システム環境の変化や新しい脅威に対応するために、設定を見直し、最適化しなければいけません。具体的には、リスト化した監視対象（インベントリ）や、定義した検知ルール（ポリシー）を定期的に見直すということです。

チューニングを怠ると、本来検知しなければいけない脅威を検知できないだけでなく、検知すべきではないものを誤検知してしまうことにもつながります。誤検知が多発すると、本当の脅威が埋もれてしまい、対応者の負荷が増大することになります。

EDRだけを導入するのではなく、他のセキュリティ対策と連携させると、より効果を高められます。例えば、以下のようなものです。

特にEPPとEDRはお互いに機能を補完し合う関係にあるため、どちらも導入しておくことをおすすめします。