EDRの仕組み

EDRはエンドポイントに不審な動きがないかを常時監視し、アプリケーションや通信、起動プロセスなどのログを取得・分析することで、ウイルスなどのマルウェアの侵入原因や経路、被害状況を可視化します。どの端末がどんなマルウェアに感染し、どのような被害を受けたのかを迅速に特定することが可能です。

EDRとEPPの違い

EDRとEPP、どちらもエンドポイントセキュリティ製品・ソリューションですが、従来のマルウェア対策製品などのEPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）がウイルスなどのマルウェアの検知と感染防止を主眼にしているのに対し、EDRはマルウェア感染後の調査と対応支援を目的としています。
EDRは、EPPでは対応できていなかった事後対応の領域をカバーする（EPPを補完する）役割を担っているため、どちらか一方を導入するのではなく、EPP、EDRどちらも導入することでエンドポイントセキュリティを強化できます。

EDRが必要な理由

昨今、サイバー攻撃はより高度化・巧妙化しています。ターゲット企業が明確で、その企業に関して念入りに下調べをしたうえで攻撃を行う標的型攻撃や、データを暗号化し、復号化と引き換えに金銭を要求するだけではなく、支払いを拒否した場合はデータを暴露すると二重に脅迫を行う「暴露型ウイルス」を用いた攻撃など、その手法は多岐に渡ります。こうした攻撃の高度化、巧妙化により、マルウェアの侵入を完全に防ぐことは困難であると言われています。もちろん従来の感染防止を目的とした対策も必要ですが、今後はマルウェアの侵入を前提とした感染後の対策が求められます。
万が一マルウェアに感染した場合、被害を最小限に抑えるためには、感染の原因や被害状況を迅速に調査し、早期に対応することが重要です。そのため、マルウェア感染後の調査と対応支援が可能なEDRが注目されています。 EDRは、調査・解析などに高度なスキルを要するほか、そもそものEPPの検知率が低いと、EDRで対処すべきセキュリティ脅威が増大し、運用負荷が増してしまいます。既知・未知にかかわらずマルウェア検知率の高いEPPと、EDRの連携が重要です。

EDRを導入するメリット

EDRを導入することで、万が一セキュリティインシデントが発生した際の対応コストを低減させることができます。例えば、サイバー攻撃によりマルウェアに感染し、情報漏洩が発生した場合、下記のような流れで対応を行うことが基本となります。EDRにより下記①～③の対応を支援、担当者の負担軽減を実現します。

- セキュリティインシデントへの対応例

1. マルウェアに感染したことの把握

   EPPからのアラートや、漏洩した情報を確認した外部からの報告により、マルウェアに感染したことを把握します。

2. 初動対応

   感染端末のネットワークからの隔離など、感染被害の拡大を防ぐための初動対応を行います。

3. 原因調査

   感染がどこまで拡大しているか、どのような情報が漏れたのかなど、被害の状況を確認します。

4. 復旧と対応策の実施

   復旧措置と、③での調査結果をもとに策定した再発防止策を実施します。