docomo business | NTT Communications
イメージ

EDRとは|機能や効果、従来のウイルス対策ソフト(EPP)との違い

MENU

サイバー攻撃の手法は年々高度化しています。標的型攻撃や暗号化ファイルなど、従来のセキュリティ製品だけでは対応が難しいケースも増えてきました。そんな中で注目を集めているのがEDRです。本記事では、EDRの概要や機能、EPPやNGAVとの違い、コストなどについて具体的に解説していきます。

お問い合わせはこちら

EDRの概要

EDRはEndpoint Detection and Responseの頭文字を取った、エンドポイントセキュリティを担う仕組みの1つです。エンドポイントとはPCやスマートフォン、サーバーなどのデバイスを指します。これらのデバイスの状況を監視し、不審な振る舞いの検知や対処をするためのソリューションです。

EDR
Endpoint Detection & Response

デバイスへの攻撃や侵入を防ぐのではなく、
デバイスの挙動監視などによって
侵入を防げなかった脅威を検知・対処するセキュリティ対策

EDR(Endpoint Detection and Response)の概要図

一方で、ファイアウォールやIPS(Intrusion Prevention System)、URLフィルタリングなどの仕組みは、デバイスにデータが到達するまでの経路(ネットワーク)を保護するという意味で、ゲートウェイセキュリティと呼ばれます。

近年、サイバー攻撃は高度化、巧妙化しており、特定の組織を狙った標的型攻撃やファイルレス・マルウェアなども増えています。こうした攻撃に対し、ゲートウェイセキュリティだけで防ぐことが難しくなりました。また、テレワークの普及などによる働き方の変化に伴い、社外での業務が増加していることもリスクを高めています。

こうした背景もあり、エンドポイントのセキュリティを強化する、EDRに注目が集まっているのです。

①EPPやNGAVとの違い

EDRと似た言葉に「EPP」や「NGAV」、「MDR」があります。それぞれ解説します。
EPPはEndpoint Protection Platformの略で、一般的にはアンチウイルス(AV)ソフトやウイルス対策ソフトと呼ばれます。これらの製品はパターンマッチングなどによって、マルウェアがデバイスに侵入することを防ぎます。

EPPの一種がNGAV(Next Generation Anti Virus)です。NGAVは次世代アンチウイルスとも呼ばれます。従来のアンチウイルスソフトは、シグネチャーと呼ばれる定義ファイルを使ったパターンマッチング方式が基本でした。しかしこの方式だと既知のマルウェアは防げても、未知のマルウェアは防ぎきれません。

NGAVはシグネチャーだけでなく、マルウェアの「挙動」を目印にして検知しブロックする仕組みです。代表的な機能として機械学習や振る舞い検知などがあります。

EDRはEPPの仕組みで防ぎきれなかったマルウェアを検知し、デバイスの隔離などの対処を行うための仕組みです。

またMDR(Managed Detection and Response)は外部の専門家のサポートを受け、EDRをはじめとしたセキュリティ製品によっていち早く脅威を検知し、インシデント対応をするためのサービスです。

EDRの機能と、注目される背景

EDRの具体的な機能と、今注目される背景について、あらためて解説します。

①EDRの機能

EDRの基本的な機能はデバイス操作ログの監視です。対象となる端末にエージェントやセンサーと呼ばれるアプリケーションを導入します。エージェントはクラウド上にある管理サーバーと通信を行い、デバイスの状況をリアルタイムに監視します。

ログを監視することにより、マルウェアとC&Cサーバーとの通信や攻撃の横展開、情報の持ち出し、といった行動を検知可能です。リアルタイム監視することで、マルウェアの足跡消去にも対応でき、素早い横展開もブロックしやすくなります。

またEDRだけでなく、SOC(Security Operation Center)と呼ばれる専門家チームでの対応をセットにしたソリューションも提供されています。EDRで異常を検知した後の分析や対処をSOCが担います。

②EDRが注目される背景

IDC Japan 株式会社の2020年9月の調査から、エンドポイントセキュリティ製品の市場はここ数年、右肩上がりで伸びていることがわかります。とくに2020年は、新型コロナウイルス感染症拡大の影響でリモートワークが普及したことや、標的型攻撃対策への関心の高まりなどによって、エンドポイントセキュリティ製品の需要が高まっています。

国内標的型サイバー攻撃対策市場規模予測グラフ
参考・出展:国内標的型サイバー攻撃対策市場規模予測を発表│IDC Japan 出典:IDC

(1)セキュリティに対する考え方の変化

セキュリティそのものに対する考え方の変化も、EDRへの関心が高まる要因の1つです。AIやテクノロジーの進化はサイバー攻撃を行うハッカーにも負の恩恵をもたらしており、マルウェア攻撃そのものが高度化、多様化しています。既知のマルウェアをもとに未知のマルウェアを作成することもたやすくなっており、ウイルス対策ソフトだけでは防ぎきれないシーンも出てきました。

そのため、侵入を防ぐという従来の発想に加え、「侵入されることを前提とした対策」と「被害を最小限に抑えるための仕組み」が重要視されているのです。EDRはこうしたマルウェアに侵入された後の最後の砦ともいえます。

(2)テレワークによるネットワーク利用方法の変化

新型コロナウイルス感染症拡大によって業務におけるネットワークの利用方法が大きく変化しました。従来まではオフィス出社が前提で、社内ネットワークを介して業務を遂行するのが当たり前でした。しかし、リモートワークの普及によって在宅や外出先など、「社外ネットワーク」で業務を行う機会が増えています。

このようなネットワーク環境下においては、社内と社外とを分けてセキュリティを担保する「境界型防御」では限界があります。「無条件に信頼しない」というゼロトラストの概念に則り、EDRをはじめとしたエンドポイントセキュリティを強化することが必要なのです。

EDRの選び方と導入コスト

EDRの選び方のポイントとおよその導入費用と期間について解説していきます。

①ソリューション選びのポイント

(1)EDR単体でなくエンドポイントセキュリティ全体をカバーできるか

EDR単体ではなく、エンドポイントセキュリティに関するさまざまな機能を提供するソリューションも増えています。なるべく多くの領域に対応できる製品を選ぶとよいでしょう。代表的な機能としては下記が挙げられます。

  • NGAV
  • 脆弱性管理
  • パッチ配信
  • USBデバイスの制御
  • EDR未導入端末の可視化

(2)管理サーバーをどうするか

EDRはログを監視するための管理サーバーが必要になります。自社のデータセンターにサーバーを構築するパターンとクラウドで提供されているパターンがあります。両方を提供しているサービスもあるので、自社に合わせて選ぶとよいでしょう。一般にクラウド型のほうが導入や運用の負担が小さくなります。一方で、ログを社内管理したい場合はオンプレミス型(自社サーバー)を利用します。

(3)ネットワークへの負荷を事前に確認する

EDRの導入においては、エージェントを導入した端末からログが出力されることにより、自社のネットワークにどれくらいの負荷がかかるかも事前に確認しましょう。

(4)対応OSを確認する

EDR製品によって対応できるOSが異なります。一般的なOSには標準対応している製品がほとんどですが、特定業界で利用されるOSの場合、メーカーによって対応状況が異なります。

(5)他ジャンルのセキュリティとの組み合わせ

上述のとおり、近年はリモートワークが一般的になりつつあります。従業員が社外で業務を行うケースが多い場合は、クラウドプロキシーとEDRを統合管理するソリューションもおすすめです。EDR単体ではなく、そのほかのジャンルのセキュリティとの組み合わせも検討するとよいでしょう。

②導入コスト(費用、期間)

EDRの導入費用や期間について解説します。なお、ここでご紹介するコストや期間はあくまで目安です。導入時の要件によって異なりますのでご注意ください。

(1)導入費用

EDRのライセンス費用はSOCサービス込みで年額6,000円/台(税込6,600円)で、月額500円(税込550円)程度が一般的な目安です。ただ実際には利用するほかの機能や、契約端末の数によるボリュームディスカウントなどもあるため、企業によって金額は異なります。また、導入や運用についてもアウトソースする場合は、その費用も予算に組み込むことが必要です。詳細な金額はサービス提供ベンダーから見積りをもらうことをお勧めします。

(2)導入期間

導入期間は概ね2カ月程度見ておくとよいでしょう。ただし、複数拠点に導入するケースや従業員数が多い場合は、実際の運用開始までにさらに時間がかかりますので、注意が必要です。導入時にサービス提供ベンダーと打合せを行い、実態に則した現実的なスケジュールを組む必要があります。

まとめ

働き方が大きく変わる中で、セキュリティに対しては見直しの必要性に迫られています。EDRを導入する企業は増えているため、未導入の企業はこの機会に検討してみてください。

ただしEDRは有効打の1つではありますが、それだけで企業のセキュリティが完結するわけではありません。クラウドセキュリティ、ゲートウェイセキュリティなど多層防御の視点に立ち、サイバー攻撃を防御・被害の最小化を行う必要があります。

企業によってはセキュリティの専門家がいないケースや、ほかの業務との兼任でなかなか具体的な対応までの時間が取れない、といったケースもあるでしょう。そのような時は社外に頼れるパートナーを見つけることも有効な手だての1つです。

NTTコミュニケーションズではEDRをはじめ、さまざまなセキュリティ・ソリューションをご提供しております。お気軽にご相談ください。

このページのトップへ