EDRとは？

現在のビジネスでは、業種や業態、企業規模によらず、コンピュータネットワークシステムを何らかの形で利用せずに業務を進めることはできなくなっています。

そこで、ほとんどの企業にとって重要な課題は、パソコンやサーバー、ネットワークのセキュリティを万全に保つことです。万が一ハッキングされて、重要なデータを盗み取られたり破壊されたりすると、その影響は自社内にとどまらず、顧客や取引先にも多大な迷惑を掛けることになってしまうためです。

ハッキング技術は日々進化しているので、それに備えるためのセキュリティも常に進化を続ける必要があります。そこで、最近注目されているのがEDRです。この記事では、EDRとはどのようなものなのか、詳しく解説します。

エンドポイントセキュリティを担う仕組みの一つ

EDRとは、「Endpoint Detection and Response(終点の検出と応答)」の頭文字を取った言葉です。

コンピュータシステムの末端(エンドポイント)に位置する、パソコンやスマホ、タブレット、サーバーなどのデバイスをネットワーク上で常に監視し、何か怪しい振る舞いが検知されたときに、その都度対処するという仕組みがEDRです。

EDRはエンドポイントのセキュリティを強化するための仕組みの1つとなります。

マルウェアに侵入された後に効果を発揮する

従来のネットワークのセキュリティの仕組みとは、ファイアウォールやURLフィルタフリングなど、ネットワークを保護する仕組み、ゲートウェイセキュリティが主流でした。

しかし、サイバー攻撃が高度化し、ゲートウェイセキュリティだけではリスクを低減するのが難しくなりつつあります。

EDRは、ゲートウェイセキュリティを突破して、パソコンやサーバーといったエンドポイントにマルウェアなどが入り込んでしまった後に効果を発揮します。マルウェアのエンドポイント上での振る舞いを検知して、駆除などの対処を行います。

EPPやNGAVとの違いとは？

EDRと同じような言葉にEPPやNGAVがあります。

EPPとは、一般的にウイルス対策ソフトと呼ばれるものです。あらかじめウイルスのパターンを登録しておき、パターンマッチングでウイルスやマルウェアを検知します。EPPの一つがNGAVで、ウイルスやマルウェアの挙動を検知して対処します。

EPPはあらかじめわかっているウイルスやマルウェアの情報を登録しておくことが必要で、未知の脅威へは対応できません。

EDRは、EPPでは防御できなかった未知のマルウェアも怪しい挙動で検知して、デバイスの隔離や駆除などの対処を行う事ができる仕組みです。

EDRが必要とされる理由とは？

現在、企業のコンピュータネットワークシステムには、従来のセキュリティ対策にプラスして、EDRの導入が必要だといわれています。EDRが必要とされるのは、どうしてなのでしょうか。EDRの必要性について詳しくみていきましょう。

従来のセキュリティツールでは限界が来ている

現在、EDRの必要性が高まっている理由の一つが、従来のセキュリティツールやセキュリティシステムでは限界が来ているためです。

ここ最近、企業や病院などのシステムがハッキングされたというニュースを以前よりも耳にすることが増えてきたように感じます。ハッキングされた企業の中には、国内外で知名度の高い企業もあることから、セキュリティ対策を怠っていたとは考えられません。

従来型のセキュリティシステムであるゲートウェイセキュリティやEPPの仕組みを突破して侵入できてしまう、ハッキング技術が進化していると考えたほうがいいでしょう。

EPPは既知の脅威に対応するものなので、ハッキング技術の進化で開発された未知の脅威には対応できません。

EDRは侵入された後の挙動から脅威を検知するものなので、未知の脅威にも対応できます。技術の進化のスピードが早まっている現在、未知のウイルスにも対応可能なEDRの仕組みが必要とされているのです。

テレワークの普及によるネットワーク環境の変化

従来、セキュリティを重んじる企業では、業務で使う全ての端末を社内ネットワーク内だけで管理できるように、社内の仕組みを構築していました。

しかし、コロナ禍を経てテレワークの導入が進んだ結果、社員それぞれが自宅に引いているネット回線やスマホのモバイルデータ通信を業務でも利用する必要性が高まりました。

管理しやすい社内ネットワークだけではなく、一般回線も利用する必要性が高まったことで、エンドポイントの端末のセキュリティ管理の重要性が高まっています。

EDRはネットを介してエンドポイントを常に監視できるシステムなので、今後も進むと思われるテレワーク環境では、必要性がますます高くなっていくでしょう。

EDRの仕組みの要素について

現在、ハッキングされる恐れのある企業がEDRを導入する必要性が高まっている理由をみてきました。それでは、EDRは具体的にどのような仕組みでセキュリティを高めるものなのでしょうか。EDRの仕組みの要素について詳しくみていきましょう。

EDRといっても提供されているソリューションによって機能や仕組みは異なります。しかし、ほとんどのEDRには次の要素がコア機能として組み込まれています。

エンドポイント・デバイスからの継続的なデータ収集

EDRの仕組みの一つが、エンドポイントデバイスからの継続的なデータ収集です。

ネットワーク上にある全てのエンドポイントデバイスに、データを収集するためのツールをインストールして、セキュリティ監視のために必要なデータを継続的に収集しています。

具体的にEDRが収集しているデータは、プロセス、パフォーマンス、構成の変更、ネットワーク接続、ファイルとデータのダウンロードと転送、デバイスの動作に関するデータです。

これらのデータは中央のデータベースに収集されて分析されています。

リアルタイム分析での脅威の検出

EDRの仕組みの一つが、エンドポイントデバイスのリアルタイム分析と脅威の検出です。

収集したデータは、EDRでは高度な分析と機械学習アルゴリズムのために利用されます。分析の結果、既知、未知に関わらず何らかの脅威や怪しい挙動が発生したら、その活動パターンをリアルタイムで特定します。

EDRでは、脅威を検出するために、潜在的な攻撃や侵害と一致する挙動である侵害指標と、既知のサイバー攻撃やハッカーに関する行動やイベントである攻撃指標を監視しています。

このリアルタイム分析と脅威の検出により、ネットワークシステムを管理する部門では、セキュリティの問題を把握して、対処を始めることができます。通常はこの段階では自動的には脅威への対応は始まりません。

検出された脅威への自動対応

EDRの仕組みの一つが、検出された脅威への自動対応です。

データの蓄積により、EDRにセキュリティチームが事前に定義ルールを設定したり、EDRのシステムが機械学習によってルールを学習したりできるようになります。

その結果として、セキュリティ担当者への警告、重大度に応じたアラートの優先順位付け、脅威を追跡するためのトラックバックポートの作成、エンドポイントデバイスの切断やネットワークからのログオフ、エンドポイントのプロセスの停止、悪意のあるファイルや不審な電子メールの実行を阻止などを自動化できます。

必要に応じて対応を自動化できるようになれば、ネットワークやシステムへの損害を最小限に抑えることができるでしょう。

検出された脅威に対する調査と修復機能

EDRの仕組みの一つが、検出された脅威に対する調査と修復です。

脅威が検出されると、その脅威についてセキュリティ担当者が分析調査するための機能とデータがEDRから提供されます。

脅威の証拠を見つけるためのデータ解析をするために必要なフォレンジック分析を行えば、攻撃者の侵入後のネットワーク内での移動、認証情報へのアクセス、その他の悪質性の高い行為に対する脆弱性を特定できます。

これらの情報をもとに、セキュリティ担当者は修復ツールを利用して脅威の排除とシステムの修復ができます。

脅威ハンティング

EDRの仕組みの一つが、脅威ハンティングです。

脅威ハンティングとは、未知の脅威や既知でもまだ対処の自動化がされていない脅威を探すことです。

EDRには、セキュリティ担当者が脅威ハンティングをするためのサポートを行う機能が搭載されています。脅威の中には、数カ月間もシステムの中に潜伏してデータを収集し続けるものもあります。EDRのリアルタイム監視により、早期に発見して対処できれば、被害を最小限に抑えることができるでしょう。

EDR導入時の製品の比較ポイント

企業がEDRを導入するときの、製品の比較ポイントとはどのようなポイントでしょうか。特に比較検討した方がいい6つの比較ポイントを解説します。

エンドポイント全体をカバーできるか

EDR製品を比較するときには、エンドポイント全体をカバーできる機能があるかどうかを検討しましょう。

上記の主な仕組みはEDR本体には常駐させていることは当然ですが、製品によってはそれぞれのエンドポイントにも機能を搭載できるものがあります。

ネットワーク上での監視だけでは、万が一脅威が侵入したときに若干でも対応が遅れる可能性があります。エンドポイントがEDRのセキュリティ機能を持つことで、より盤石な体制を構築できるでしょう。

エンドポイントセキュリティとして、NGAV、脆弱性管理、パッチ配信、USBデバイスの制御、ネットワーク上のEDR未導入端末の可視化機能を特に比較ポイントにしましょう。

管理サーバーはオンプレミスかクラウドか

EDR製品を比較するときには、管理サーバーをどうするのか比較検討しましょう。

EDRはエンドポイントからログを収集して監視、必要に応じた対処を行う管理サーバーが必要です。管理サーバーは自社サーバーに設置するオンプレミスか、クラウドで提供されるものから選ぶことができます。

オンプレミスであればログを自社内だけで管理できるのでセキュリティ上安心です。しかし、サーバーの管理やシステム担当者の常駐が必要となります。監視や対処もサービスに組み込まれているクラウドなら運用の負担は軽減します。

企業の状況に合わせてどちらがいいのか比較して選びましょう。

ネットワークにかかる負荷

EDR製品を比較するときには、ネットワークにかかる負荷について比較検討しましょう。

すべてのエンドポイントデバイスをリアルタイムで監視するEDRの仕組みでは、常にエンドポイントデバイスからログがサーバーに送信され続けています。

エンドポイントデバイスの数が多くなれば多くなるほど、自社ネットワークにかかる負荷はかなり大きなものになります。負荷はどの程度になるのか、EDR製品によってどの程度変わってくるのか、ネットワークの増強が必要になるのかどうか、事前に比較、確認しておきましょう。

対応OS

EDR製品を比較するときには、利用できるOSの種類について比較検討しましょう。

EDR製品ごとに、対応可能なOSが異なります。標準的に使われるOSはほとんどのEDR製品で利用可能ですが、中には特定のOSしか対応していない製品もあります。

自社で導入しているOSに対応可能かどうか、その点もよく比較検討しましょう。

他のセキュリティとの組み合わせ

EDR製品を比較するときには、他のセキュリティとの組み合わせについても比較検討しましょう。

EDRは侵入後の脅威に対するセキュリティですが、やはりファイヤウォールで侵入されないように防御する仕組みや、既知の脅威を素早く取り除けるEPPも必要です。

製品によっては、EDR単体ではなく、社内ネットワークを全てカバーするものとして、統合的なセキュリティソリューションとして提供されているものもあります。どのような形での導入が自社に向いているのか、よく比較検討しましょう。

導入コスト

EDR製品を比較するときには、導入コストについても比較検討しましょう。

EDRでかかる費用は、導入するデバイス1台あたり、年額6,000円程度、月額500円程度の製品が一般的です。

利用するデバイスの数によっては、台数が増えると割引率が高まるボリュームディスカウントなどの製品もあります。

また、EDRの導入だけでなく、運用のアウトソーシングができる製品もあります。その場合には委託手数料なども必要になります。

それぞれの製品から提供される機能やアウトソーシングができるか、導入台数を考えてコストについても比較検討しましょう。

運用開始までの期間

契約してからどのくらいの期間で運用を開始できるのかも比較検討しましょう。

セキュリティの現状は待ったなしなので、必要性を理解したら速やかな導入がおすすめです。EDRの運用開始までは、契約から2ヶ月程度が一般的です。しかし、エンドポイント端末や拠点数が多いとそれ以上に時間がかかることもあります。

信頼性が高い製品で、速やかに運用開始できるものを選ぶことがおすすめです。

おすすめのEDR製品

ここまでEDRの詳細についてみてきましたが、おすすめのEDR製品とはどのような製品なのでしょうか。おすすめのEDR製品を紹介します。

ゼロトラスト・セキュリティ

ゼロトラスト・セキュリティはアメリカのAkamaiから提供されているEDR製品です。マルウェア解析、不正プログラムや不正侵入の解析、インシデント詳細解析、マルウェア検知、アラート、ファイアウォールといった機能を利用できます。

ファイアウォールも用意されているので、EDRだけでなく包括的なセキュリティ対策としておすすめの製品です。特にファイヤウォールは同様のEDR製品の中でも評価が高い点がおすすめポイントです。

ユーザーからは、この製品は設定変更やチューニングがしやすく運用しやすい、導入が簡単にできるなど、運用のしやすさが評価されています。

LANSCOPE サイバープロテクション powered by CylancePROTECT

LANSCOPE サイバープロテクション powered by CylancePROTECTは、大阪に本社のあるエムオーテック株式会社から提供されているEDR製品です。

AIを活用して既知の脅威にも未知の脅威にも対応できるアンチウイルスシステムで、99%という高い検知率を誇ります。

導入しているAIは世界中で2万社以上が利用しているもので、特に信頼できます。国内企業が提供しているので、海外製のツールの導入に不安を感じている企業にもおすすめです。

ユーザーからは、ログインするとダッシュボードがすぐに表示されて現在の状態と履歴がひと目で確認できるので、画面をあちこち切り替える必要がなく使いやすい、と評価されています。

KeepEye

KeepEyeはS&J株式会社から提供されているEDRです。クラウド型で、専門のアナリストによる監視サービスと運用サポートもついているので、導入企業が自社でセキュリティ専門の担当者を置かずにEDRの運用ができます。

EDRの運用にあたっての最大の問題である専門家の設置という問題をクラウド化することで解決しながら、高度なセキュリティ対策システムを導入できます。

ユーザーからは、同様の製品に比べると価格が安く、動作も軽い、インストールなどの初期設定もやりやすい、初心者でも扱いやすい、国産ツールならではの安心感があると評価されています。

Symantec Endpoint Security Complete

Symantec Endpoint Security Completeはシマンテック社から提供されているEDR製品です。セキュリティ製品でおなじみのシマンテック社からは、その他にもアンチウイルスやNGAVなどの製品も提供されています。

企業のネットワークにおけるエンドポイントのセキュリティをシマンテックで統一することで、管理しやすくなりセキュリティに関するコストも軽減できます。

運用はクラウドのみと、クラウドとオンプレミスとの組み合わせによるハイブリッドから選ぶことができます。

ユーザーからは、価格は高額になるが、防御性が上がる安心感は他のものには変えられないという声があります。パソコンの動作が重くなることもなく、操作性も快適とのことです。

Trend Micro Apex One SaaS

Trend Micro Apex One SaaSはトレンドマイクロ社から提供されているサブスクリプション型のエンドポイントセキュリティ製品です。AI技術を用いて、多層階に渡る対策を施し、あらゆる種類の脅威に対応できます。

クラウド型だけでなくオンプレミス型も利用可能です。すでにトレンドマイクロ社のオンプレミス型製品を導入している場合には、クラウド型とのハイブリッド構成も可能です。

ユーザーからは、トレンドマイクロ社が持つ膨大なセキュリティデータを駆使してWebの驚異から守られている点はとても安心できる、セキュリティ性能を大幅に向上できるといった声が上がっています。

SentinelOne XDR

SentinelOne XDRはカリフォルニア州に拠点を置くセンチネルワン社から提供されているEDR製品です。

エンドポイントデバイスの脅威検知とインシデント対応力に優れています。他社のセキュリティ製品ともワンクリックで連携可能で、現在導入しているセキュリティシステムにプラスして利用できるメリットがあります。

世界的に高く信頼されている製品で、フォーチュン10のうちの4企業、グローバル2000の企業の中の数百企業が導入しています。

ユーザーからは、動作が軽く扱いやすい、管理画面での一括管理ができてエンドポイントデバイスの管理が楽にできる、多様な検知方法で未知の脅威にも安心感があるといった声が上がっています。

CrowdStrike

CrowdStrikeはアメリカのテキサス州に拠点を置く、サイバーセキュリティテクノロジー企業であるクラウドストライク社から提供されているEDR製品です。

振る舞い検知など15以上の機能を備えており、ネットワーク上の多くの脅威に対応できます。システム担当者を設置しなくても、クラウドストライクの専門家が24時間ログを監視して、不審な振る舞いがあればアラート通知を送信してくれます。

日本では国内のパートナー企業が取り扱っています。海外製品に不安のある企業も安心して導入できるでしょう。

ユーザーからは、導入時にすでに導入済みの他のシステムとのバッティングが少なかった、管理画面で細かいところまで管理できるといった声が上がっています。

Deep Instinct

Deep Instinctは、ニューヨークに拠点のあるサイバーセキュリティ企業が運用するEDR製品です。

AI搭載のEDR製品としては、機械学習ではなくディープラーニングを活用している点が大きな特徴のEDR製品です。ディープラーニング技術により、未知のウイルスを予測し防御することができます。特に、サイバー攻撃の中でも防御が難しいとされるゼロデイ攻撃に対しても防御力を発揮できるEDRです。

1,000台を超える端末に導入しているというユーザーからは、1年間使ってセキュリティ上の問題は起きなかった、管理コンソールでの端末の管理がとても簡単になったと言う声があります。

EDRの導入でセキュリティをより強固なものにしよう！

企業がハッキング被害に遭ってしまったというニュースを聞くたびに、自分のところは大丈夫かと心配になる人も多いことでしょう。

セキュリティ強化のために必要な対策の一つがEDRといっても過言ではありません。もちろん、EDRだけで全てが解決できるわけではありませんが、現在の状況ではEDRの導入で被害を最小限に食い止めることは可能です。

ぜひ、現在のネットワークシステムのセキュリティが心配なのであれば、EDRの導入も検討しましょう。

>>【無料】MAツール比較検討をお考えの方はお気軽にお問い合わせください

MAツールで決裁者アポ獲得するならアポレル

アポイントの獲得、特に決裁者アポイントの獲得を重要視するなら、ぜひアポレルにお問い合わせください。
アポレルが選ばれる理由を5つご紹介します。

アポレルが選ばれる理由

• 審査制で決裁者のみが登録
• 決裁者へのダイレクトメッセージ機能搭載
• 決裁者限定のオンラインピッチイベントを開催
• アポレルコンシェルジュの仲介サポート
• 完全オンライン完結

アポレルは完全審査制で決裁者のみが利用できるサービスであるため、無駄な時間をかけずに営業活動を実施できます。
また、直接のダイレクトメッセージだけでなく、オンラインピッチイベントやアポレルコンシェルジュの仲介も利用可能です。
完全オンラインで利用できますので、コロナの状況下でも営業機会を逃しません
>>【無料】アポレルの詳細はこちら