EDRとは?EPPとの違いやデータセンターを選ぶポイントについて

近年では働き方改革やコロナウイルスの感染拡大に応じ、多くの企業がテレワークを導入し、新しい生活様式の中で常時テレワークにしている会社も多いことでしょう。そのような状況の中、情報システムを扱う方々や、企業を経営している方々は、より一層ネットワークのセキュリティに対して敏感になっているのではないでしょうか。こちらの記事では、パソコン・サーバーを守る「EDR」について、EPPとの違いなど、データセンターを選ぶにあたってのポイントや注意点についてご紹介していきます。

EDRとは?

【EDRについて】EDRとは、Endpoint Detection and Responseの略で、直訳すると「エンドポイントの検出と対応」という意味になり、エンドポイントとはサーバーやパソコンなどの端末機器を指します。どういった役割を果たすのか具体的に説明すると、マルウェアなどのコンピューターウイルスを検出し、検出が確認され次第感染した端末の隔離、マルウェアなどのウイルスの情報調査や分析を行い、感染経路を特定、原因となったファイルの駆除および復旧までを行うものです。

EDRの特徴として、サーバーに接続されているスマートフォンやタブレット、パソコンなどの色々なデバイス(エンドポイント)を監視することで、サイバーへの脅威となるウイルスを発見し、デバイスを隔離することでサイバーへの攻撃を防ぐというものです。

EDRにおける主な機能としては、ネットワーク全体のデバイスを監視、サイバー攻撃兆候を検知、被害および感染状況の特定、デバイスの状態を可視化などが挙げられます。

EDRが解決する課題

 

EDRが解決する課題

そして実際にEDRがどのような事態に対し有効なのかについて確認していきましょう。

マルウェアなどのウイルスの「事前防御」

EDRの解決が可能な課題として、大きく「事前防御」と「事後防御」の二つが挙げられます。従来のウイルス対策では主に「事前防御」が中心でしたが、EDR最大の特徴として「事後防御」も可能という点があります。

EDRの実行する「事前防御」とは、デバイスごとに事前にウイルスの発生を抑えるということよりも、各デバイス(エンドポイント)のウイルス感染が確認され次第、発生を検知しサーバーへ直接攻撃がされないよう、隔離を行う対策になります。

つまり、EDRはデバイスのマルウェアなどのウイルス感染を前提として、各デバイスごとにリアルタイムで監視し異常な状態を検知するというものです。

マルウェアなどのウイルス「事後防御」

EDRの「事後防御」は、先述したマルウェアなどのウイルスの感染が確認された場合に、ネットワークからデバイスを速やかに隔離しサーバーへの攻撃をブロックするというものになります。そして、ウイルスの検知が確認された場合、感染したデバイスを隔離することでマルウェアなどのウイルスを留めることができ、ウイルスの感染源や経路など根本的な原因を確認することが可能です。

EDRはデバイスをリアルタイムで監視し、記録されているため、感染を確認したのちに記録の内容を確認することで影響を及ぼす範囲そして感染源の特定にもつながります。

ウイルス感染前の状態復旧まで

EDRの特徴の一つとして、状態の復旧まで行うというものがあります。ウイルスの検知・隔離だけでなく、デバイスの記録した情報をもとに、どのようにしてウイルスに感染したのかの経緯や、被害がどの程度出たのかを分析し、そのうえで危険なものや悪質なファイルの選定・駆除などを行います。

EDRとEPPの違いは?

EDRとEPPの違いは?

そして、EDRを語る際、よく比較として「EPP」などもあがります、その違いについて確認していきましょう。

EPPとは

EPPとは、Endpoint Protection Platformの略で、EDRと同様にウイルスなどの感染を防ぐことを目的とした製品で、特徴としては「感染を事前に防ぐ」ことです。
EPPは以前から、企業でも個人でも色々な人に利用されてきたセキュリティ製品です。一般的なパソコンのセキュリティソフトに当たるのが、このEPPになります。

EPPの特徴は、デバイスがウイルス感染を起こすのを事前にブロックすることで、既存のウイルスの定義ファイルと照合しマルウェアなどのウイルスが侵入するのを防ぎます。

EDRとの違い

EDRとEPPの違いは、そもそも本質的な部分の考え方に違いがあります。EPPは侵入を未然に防ぐことを狙いとしていて、既存のウイルスの定義ファイルと照合して同様のパターンのウイルスを防ぎます。ですが、EDRは「感染を前提」としている製品で、デバイスがそれぞれウイルスに感染することを前提で、基となるサーバーへの攻撃を防ぐというものです。

そのため、EDRはリアルタイムで各デバイスの状態を把握し、いままで無かったウイルスのパターンだとしても、状態の異常を検知した際対象のデバイスを直ちに隔離し、基となるサーバーへの侵入を防ぐというものです。

EDRが注目されている理由

 

EDRが注目されている理由

次に、EDRが耳目を集めている理由や背景についても詳しく見ていきましょう。

ファイルレスマルウェアの脅威

この頃「ファイルレスマルウェア」というマルウェアの一種が利用され、企業や個人を狙ったコンピュータへの攻撃が多発しています。

ファイルレスマルウェアは、古くからあるファイルから感染をするタイプではなく、不正コードをメモリー上で実行するため、プログラムや正規コマンドとの区別がつかなくなる上に、従来のセキュリティ製品(EPPなど)では対処しきれないものが発生しています。このような事態の変化から、EDRのニーズが高まったと考えられています。

リモートワークの普及

社会的にテレワーク・リモートワークが普及なども、EDRへの関心が集まった要因の一つと言えます。いままで以上にネットワークの利用頻度が高まるようになり、テレワーク下でどのようにパソコンなどのデバイス機器を利用しているか、監視しづらい現状です。また、テレワークが中心となったいま、ネットワークやサーバーのダウン、ウイルス感染によって利用が不可能な状況になると、企業側としては大きな損害が出てしまう、企業の中にはリスクを軽減させるためにセキュリティの強化を優先的にするとこも少なくないでしょう。

セキュリティの考え方の変化

セキュリティの考え方の変化

従来のセキュリティと比べて、根本的な考えも変わってきているようです。5Gやクラウドなどの環境の変化によって、色々なサービスがWeb上で広まり、利用する企業も増えてきています。

そんな中、新たなウイルスが多く発見され、ウイルスの感染を止めることは困難と考えられ、ウイルスの感染を阻止することはせず、ウイルス感染が起こるものとして、コアであるサーバーを守るためのEDRに注目が集まっています。

EDRの仕組みと流れ

次に、どのようにEDRがウイルス感染から守ってくれるのか、流れや仕組みについて確認していきましょう。

ウイルスの検知

まずEDRはウイルスの検知を行うため、各デバイスごとにリアルタイムで記録し、怪しい動きがないかを確認します。各デバイスに不審な挙動を既知のマルウェアと照らし合わせたり、AIなどを駆使し自動で検知します。

ウイルスの隔離

ウイルスの感染が確認されると、ネットワークから対象となるデバイスの端末機器を直ちに隔離し、デバイスにマルウェアなどのウイルス類を閉じ込めます。したがって、サーバーやコアとなる部分への侵入を防ぎ、被害を最小限に抑えるというものです。

ウイルスの調査

また、すでに感染したデバイスの記録の確認をし、ウイルスの感染経路やプログラムを分析・調査して、どういった過程で感染し、被害レベルはどのくらいなのか、ウイルスの種類などを特定します。

復旧

そして、ウイルスが感染した元となるデバイスを修復し、使用できる程度までもどします。もし、マルウェアの排除が困難な場合、デバイスを初期化するなどが必要となりますが、どちらにしてもデバイス端末を使用することもサーバーやネットワークなども復旧し使用が可能となります。

EDR選定のポイント

EDR選定のポイント

EDRを選定するにあたってのポイントについて確認していきましょう。

どの領域まで対応してくれるのか

企業でのセキュリティ対策視野に入れた場合、EDRのみでなく、エンドポイントセキュリティとして色々な領域に対応してくれるサービスに絞って選ぶといいでしょう。

EDRを選ぶというよりも、EDRを含んだセキュリティ対策をすることで、強固なセキュリティ対策が可能なため、パッチ配信やUSBデバイス、脆弱性管理などEDRを含んだ幅広い領域でのサポートが可能なセキュリティソリューションを選択することがおすすめします。

導入期間やコスト

EDRの導入の際は、どれほどのコストを必要とするのか、費用面の部分がポイントとなります。いくらコストを最大限かけたEDR製品だからといって、企業に必ずしもマッチしているとは限りません。必要としている機能、セキュリティを十分に踏まえたうえで、コスト面などで選ぶと良いでしょう。また、導入に掛かる期間の確認もしておく必要があります。

データセンターを選定する際にもEDR有無の確認を

これまで、EDRについて、EPPと比較してどこがどう違うのか?についてご紹介してきました。EDRとEPPとでは根本的に考え方が異なり、現代社会におけるウイルス感染の危険性から、「感染を前提」とし対策をする製品となります。

企業内のサーバーでサーバー提供やシステムの構築をしている企業も、データセンターサービスを活用している企業も、今後はEDRの存在を無視はできないでしょう。データセンターサービスを利用しているといった企業や、これから利用しようと検討中の企業の方は、EDRが導入されているデータセンターのサービスもありますので、そういった部分にも注目してデータセンターを選んでみてはいかがでしょうか。。

データセンターに関する情報はこれ一冊!
「データセンター活用ガイド」ダウンロードはこちらから

データセンター活用ガイド