今こそEDR
– EPPと何が違う?特徴とメリット –

セキュリティ

次世代のセキュリティ対策、EDRとは?
具体的な特徴とメリットを紹介

高度化するサイバー攻撃に対抗するため、セキュリティ対策製品も日々進化を続けています。そのなかでも現在、大きな注目を集めているのが、EDR(Endpoint Detection and Response)です。感染をいち早く検知し、迅速に対応を行うことを目的としたEDRは、従来のエンドポイント対策製品では防ぎきれない被害を最小限に抑えることができます。今回は、EDRとこれまでのエンドポイント対策製品との違いや、EDRを利用するメリットについてご紹介します。

そもそもEDRとはどういった製品なのか?

EDRとは、セキュリティ対策製品のなかでも脅威の侵入を前提としたエンドポイント対策製品です。エンドポイントにおける脅威の振る舞いを監視して異常を検知し、疑わしい通信やプロセスを遮断し、侵入後の痕跡を記録します。

従来のエンドポイント対策製品とEDRの違い

現在、エンドポイント対策製品として、EPP(Endpoint Protection Platform)が広く普及しています。EPPは、脅威が“侵入する前”の段階で、防御することを目的とした製品です。これに対してEDRは、脅威が“侵入した後”の挙動を監視し、感染後の対応を迅速に行うことを目的とした製品です。EPPは「侵入前」、EDRは「侵入後」の対策を目的としている点が大きな違いとなります。

サイバー攻撃は日々進化し、新しい脅威が次々に生まれています。そうしたなか、主にパターンマッチングにより侵入前に防御するEPPだけでは、新たな脅威が生み出されるスピードに対応しきれないのが現状です。

また最近では、ファイルレスマルウェアのような新種のマルウェアや、OS、ソフトウェアなどの脆弱性を狙ったエクスプロイト攻撃も急増しており、これも従来のEPPでは防ぐことが困難です。このようなEPPで防ぎきれない脅威に対抗するために生まれたのがEDRです。EPPをすり抜け、エンドポイント内に侵入した脅威の不正な挙動を検知して、組織内での拡散を防ぎ、影響を最小限に抑えます。
EDRとは

刻一刻と進化するサイバー攻撃に対抗すべく登場したEDRですが、EDRを導入している企業はまだまだ少ない状況です。

2019年2月にアイティメディア(キーマンズネット)が発表した「2019年のIT投資動向調査」によると、2018年12月の段階でEDRを導入している企業はわずか9.6%でした。

参考:アイティメディア「2019年のIT投資動向調査」キーマンズネット, 2019年2月

つまり、残りの約90%の企業は、「日々進化するサイバー脅威の攻撃を受ける可能性がある」もしくは「すでに攻撃を受けてしまっている」ということです。この点からも、多くの企業にとってはEDRを早期に導入することが重要になります。

実製品を例にしたEDRの特徴とメリット

EDRの具体的なメリットとは、どのような点にあるのでしょうか。ここでは、多数のセキュリティベンダーから出ているEDRのなかから、業界で高い評価を得ているソフォス社の「Intercept X Advanced with EDR」を例として取り上げ、その特徴とメリットについて見ていきます。

Intercept X Advanced with EDRが持つ2つの特徴

従来のエンドポイント機能を搭載したIntercept X Advanced with EDRには、「高度な機械学習とノウハウ」「脅威解析機能」という2つの特徴があります。

1. 高度な機械学習とノウハウ

ソフォス社のEDRには人工知能(AI)が組み込まれていて、高度な機械学習システムであるディープラーニングによるマルウェア解析が可能です。また、世界数カ所にある「SophosLabs」で24時間365日絶え間なく解析されている情報を活用し、強化されています。

2. 脅威解析機能

Intercept X Advanced with EDRのもう一つの特徴は、脅威解析機能です。
この脅威解析機能により、感染経路や、脅威についての詳細な情報を把握することができるため、結果としてインシデントへの対応を迅速に行うことが可能となります。

このように、管理コンソールに感染経路が表示され、疑わしいファイルをダブルクリックするだけで脅威性を表すグラフやファイルの詳細情報を確認できます。この機能により、感染に至った原因を早期に発見し、感染が疑われるエンドポイントを即座に隔離したり、調査を行ったりすることが可能です。

まとめ

エンドポイント対策といえば、感染してしまう前の段階で被害を食い止めるものといったイメージをお持ちの方は多いと思います。実際、従来のエンドポイント対策製品はそうした考えのもとに作られたものがほとんどです。

しかし、サイバー攻撃は日々驚くべきスピードで進化を続け、膨大な数の新しい脅威を生み出し続けています。そのため、感染を事前に食い止めるという従来のセキュリティ対策だけでは、被害を避けることはほぼ不可能となっているのが現状です。

EDRは、感染や侵入を前提として、その対策を迅速に行うという発想から生まれました。これまで、感染すると気づかないうちに被害が拡大してしまうリスクがありましたが、EDRの活用により被害を最小限に抑えられます。しかし、多くの企業がある課題に直面し、EDRの導入を踏み留める大きな障壁になっています。
第3回は、EDRを導入するにあたり、多くの企業が直面している課題とその対応策について詳しくご説明します。

第1回「今こそEDR – 高度化するサイバー攻撃を迎え撃つ -」の記事を読む
第3回「今こそEDR– 外部サービスを利用しEDRを有効活用 –」の記事を読む

関連サービス情報

Cyber NEXT ロゴ
高度なEDR機能と、業界トップレベルのエンドポイント保護機能を統合
複雑なセキュティインシデントの原因を解決に導く「EDR原因解析サービス

関連記事一覧