EDRとは何か？～企業における端末デバイスのセキュリティ対応の変化とEDRの解説～

EDRとは何か？～

はじめに
サイバーセキュリティの現状
エンドポイントセキュリティのトレンド
EPPとEDRの違い
今後どうするべきか
関連記事

はじめに

前回、ゼロトラストネットワークに関して記載をしましたが、これに関連して今回は現状のエンドポイントセキュリティ対応のトレンド変化に関して説明したいと思います。

サイバーセキュリティの現状

・マルウェアと呼ばれる偽装メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されており、サイバー攻撃の手口は、年々高度化してきつつあります。

・コロナ過でリモートワーク等が推奨され、これまで、社内ネットワーク内からのアクセスが、社外ネットワークからVPN等を経由してアクセスするなど、ネットワーク接続も多様化しており、FireWallなどの機能では脅威への対応が不十分になってきています。

エンドポイントセキュリティのトレンド

上記の現状があり、標的型攻撃が年々高度化するなかで従来の対策では防ぎきれないため、企業ではセキュリティ対策をEPP（脅威への防御）だけでなく、EDR（攻撃の検知と感染後の対応）へ広げてきています。
（もう少し言うと、攻撃の穴（脆弱性）への対応を主眼としてきた従来のセキュリティ対策を、攻撃されることは防げないという観点の元、「①攻撃をすぐに検知し、②ウィルスをもしくは攻撃された端末の封じ込め、③被害にあったファイルなどをすぐに修復、④侵入に使われた経路、感染影響などをすぐに調査」できるようにセキュリティ対策の幅を広げてきている。）

ＥＤＲツールが各ＩＴベンダーからサービスが発表されており、そのツールの導入ならびに、攻撃検知のためにＡＩを活用する企業が増えています。

EPPとEDRの違い

EPP（Endpoint Protection Platform）

エンドポイント保護プラットフォームと呼ばれるもので、PCやモバイルなどのエンドポイント製品の感染防止を目的とした製品を指します。従来から個人、法人のPCなどにインストールする「アンチウイルスソフト」もEPPの一つとなります。

特徴
・パターンマッチング方式でマルウェアを判別し、最新のマルウェアに対応するため、常にアップデートされていくのが特徴。パターンマッチング方式で判断をしているため、攻撃パターンを把握できていない未知のマルウェアへの対処は困難な点が課題となっていました。

・そこで課題への対応のため、近年では機械学習などにより、その弱点をカバーできるNGAV（Next Generation Anti Virus）と呼ばれるセキュリティ対策ツールも生まれてきており、従来のアンチウイルスソフトでは発見が難しいゼロデイ攻撃※の検知と防御も期待されています。

※ゼロデイ攻撃：情報セキュリティにおいて、セキュリティホールが発見された日から、その脆弱性を解消するための対処方法が確立される日までの期間のことであり、その期間に、当該脆弱性を利用して行われるサイバー攻撃のことを、ゼロデイ攻撃（ゼロデイこうげき、英: zero-day attack）という。出典：Wikipedia

EDR（Endpoint Detection and Response）

ネットワークに接続しているPC、モバイルなどのエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアです。エンドポイントがサイバー攻撃を受けることを前提に、検知や除去などの初動対処を行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。

特徴

・EPPのパターンマッチでは侵入時に防御できなかったサイバーウイルスに対し、不正な挙動・振る舞いを検知し、感染後の対応を迅速に行える点が最大の特徴です。一方で、EDRの検知に対応できるようにネットワーク全体の各エンドポイントをリアルタイムに監視し、あがってくるログレポートを解析し対応する組織体制が必要となり、大企業ではともかく、中小企業などでその体制構築が課題となります。