DXの普及に伴い、業務のデジタル化が進んで業務効率化が盛んに行われるようになってきました。一方でデジタル化に伴うサイバー攻撃の脅威も高まり、企業は新しい対策方法の導入が求められています。サイバーセキュリティの強化においては多様なアプローチが挙げられますが、注目されている対策方法の一つにEDRが挙げられます。
この記事では、EDRとはどのようなセキュリティ対策なのか、従来のアンチウイルスソフトとの違いや導入時のポイントなどについて触れながら、詳しく解説します。
EDRとは
EDRの正式名称は「Endpoint Detection and Response」で、エンドポイントにおける脅威の検出と対応を実行するためのシステムです。
EDRはエンドポイント、つまりPCやスマートフォンといった各種ハードウェアにおける異常を検知します。その後、検知した脅威に応じてマルウェアの除去、あるいはデータの復元などを実行する機能を備えます。サイバー攻撃が増加する今日において、攻撃を受けた際の初動対応は非常に重要です。EDRの導入によって、初期段階の攻撃を早期に察知し、被害を最小限に抑えることができます。
EDRとアンチウイルスソフト(EPP)の違い
EDRが台頭する以前、セキュリティ対策のスタンダードと考えられてきたのがアンチウイルス(EPP)の存在です。アンチウイルスの正式名称はEndpoint Protection Platformで、エンドポイントそのものにサイバー攻撃を寄せ付けない防護機能を備えています。
EDRとの違いは、その役割にあります。アンチウイルスは、とにかく外部からやってくる脅威を侵入させないことに重きを置いているのが特徴です。一方、EDRは脅威が内部に侵入した時に機能します。脅威の検出と封じ込め、被害の評価とデータの復旧といった領域をカバーできる製品です。言い換えると、EDRはサイバー攻撃被害を受ける前提でセキュリティを構築するためのシステムでもあります。
EDRが注目される背景
アンチウイルスソフトよりもEDRの重要性に注目が集まるようになった背景には、サイバー攻撃の増加と多様化が挙げられます。
サイバー攻撃の際に用いられるマルウェアなどは日々進化しており、その進化のスピードもかつてない速度に達しています。アンチウイルスソフトは膨大なデータベースに基づき脅威を検出できる製品ですが、今や過去のデータを遡るだけでは対応できないほどに脅威は複雑化しているのが現状です。
このような状況に対応するため注目されているのが、EDRです。これまでアンチウイルスソフトを活用する前提となっていたのが、境界防御の概念です。脅威を内部に侵入させないようにしておけば、システムは安全という考え方でした。
しかし、このような境界防御はサイバー攻撃の脅威が大きくなる中で、限界を迎えています。そこで新たに台頭してきたのが、ゼロトラストの概念です。
ゼロトラストは、サイバー攻撃の脅威は至る所からやってくるため、被害を受ける前提でセキュリティを構築しなければならない、という考え方をわかりやすくしたものです。EDRはそんな、ゼロトラストの概念に基づき運用されている製品と言えます。いつ攻撃を受けても良いよう、EDRの導入によって攻撃に備えることが大切です。
EDRとアンチウイルスソフトのどちらを選ぶべきか?
EDRは、近年アンチウイルスソフトよりも導入が重視されるようになってきました。サイバー攻撃の多様化などを踏まえると、EDRの導入は優先して取り組むべきと言えます。ただ、EDRとアンチウイルスソフトはそれぞれで別個の役割を担うセキュリティソフトです。特にアンチウイルスソフトは基本的な脅威対策として重要であるため、必ず導入しておかなければなりません。
アンチウイルスソフトで全ての脅威を回避できるわけではありません。しかし、同ソフトを導入しておくだけで、既存の脅威の大半を回避できることから、導入して損をすることはないでしょう。まずはアンチウイルスソフトを大前提のセキュリティ対策として取り入れ、その上でEDRの導入を進めるのがおすすめです。
EDRとNDRの違い
EDRと似たような概念に、NDRと呼ばれるものがあります。NDRは「Network Detection and Response」の略称で、主にネットワークの脅威検知と対応を担うシステムです。EDRとの違いは、EDRはエンドポイントを保護するのに対し、NDRはネットワークを保護対象にしている点です。監視対象のネットワークにおける異常を早期に検知できるため、エンドポイントでは検出できない脅威を把握できます。
EDRとNDRは二者択一ではなく、どちらも導入することで包括的に脅威から環境を守ることが理想です。
EDRの主な機能
EDRは多様な機能を駆使して、導入ユーザーの安全を確保しています。主な機能を整理すると、以下の通りです。
脅威の検出
EDRは、エンドポイントにおけるログを抽出・記録し、脅威の検出を行います。抽出したログをサーバーで分析にかけ、異常が発生していないかをモニタリングする仕組みです。ログから不審な動作を検出した場合、直ちにユーザーへアラートを発信し、警戒を呼びかけます。
脅威の隔離
実際にエンドポイントの中に脅威を発見した場合、直ちにシステムから切り離して隔離を実行します。不正なプログラムを封じ込めることで、それ以上の被害の発生を食い止めます。マルウェアなどをエンドポイントやネットワークから隔離することで、他のエンドポイントへの拡散を防ぐことも可能です。
調査
脅威を隔離し無力化した後は、脅威が侵入した経緯などを調査します。収集したログを元に、どのようなマルウェアなのか、何が原因で脅威が侵入したのかなどを明らかにする作業です。脅威の侵入を受けて、どれくらいの被害が、どの範囲にもたらされたのかなど、事後評価を行い、今後の対策などに役立てます。
システムの復旧
十分な調査を終えた後、脅威を完全に削除してシステムの復旧を行います。感染したアプリやファイルなどはまとめて処分することで、それ以上の脅威の発生リスクをゼロにします。可能な範囲で被害を受けたファイルなどを復元し、元の通りの状態に近づける作業です。
EDR導入で得られるメリット
EDRの導入は、導入事業者に強力なメリットをもたらしてくれます。具体的にどんな利点があるのか、確認しておきましょう。
未知の脅威に対応できる
EDRの導入によって、これまで確認されていない未知の脅威にも最大限対応できます。
アンチウイルスソフトの場合、未知の脅威から攻撃を受けた際にそのことを検知できず、なすがままに被害を被る恐れがあります。一方でEDRは、どんな脅威であれ不審なプログラムを瞬時に検知し、初期段階で封じ込めを行えるので、小さなダメージで被害を抑えられます。
対策が十分に周知されていない脅威による、新型のサイバー攻撃にも対応できるのがEDRの強みです。
サイバー攻撃による事業の停止などを回避できる
サイバー攻撃を受けて被害が大きくなると、事業の継続が極めて困難になる可能性があります。例えばランサムウェアによるシステムロックは、身代金の支払いが行われるまで業務システムを利用できなくなるなど、重大な損失をもたらす脅威です。EDRの導入は、このようなプログラムが稼働する前に脅威を隔離できる環境の整備に役立ちます。脅威を一部のファイルやエンドポイントで隔離することで、全社的なシステムへの深刻な被害を回避できるからです。
前者で統合されたシステムを運用している場合などは、必ず導入しておきたいサービスと言えるでしょう。
セキュリティ対策を外部に委託できる
EDRの導入は、サイバー攻撃を受けた時のセキュリティ対応の負担を、小さく抑えられるサービスでもあります。自社でセキュリティリソースを確保するのは負担が大きいため、高度な対策を自前で施すのは容易ではありません。そこで活躍するのが、EDRです。EDRはサイバー攻撃発生時に必要な初動対応がパッケージで提供されるため、別個に管理体制を整備する必要がありません。
また、EDRのシステムだけでなく、EDRを使ったセキュリティ管理を外部に委託するサービスも存在します。状況に応じてこれらのサービスを使い分けることで、高度なセキュリティ環境を、コストを抑えて運用できるでしょう。
EDR導入時に知っておくべきポイント
EDR導入に際しては、
- 確実かつ迅速な初動対応が得られるか
- 運用支援や外部委託サービスが整備されているか
- 操作性は自社に適しているか
といった点を押さえてサービスを選ぶことをおすすめします。
EDRに求めるべきは、サイバー攻撃を受けた時の対処の確実性です。各種サービスの実績や実際のパフォーマンスの評判などを比較しながら、信頼性の高い機能を備えたものを選びましょう。EDRの運用が初めての場合、導入時にサポートが得られるか、あるいはEDR運用を外部委託できるサービスがある製品を選ぶのも重要です。正しいEDR運用環境を間違いなく整備できるため、パフォーマンスを最大限発揮できます。加えて、運用しやすいEDRかどうかも大切です。これまで同様の製品を使ったことがない場合、経験の浅い担当者でもサービスを使いこなせるユーザビリティを備えているものを選びましょう。
まとめ
この記事では、EDRとはどんなセキュリティ対策なのか、アンチウイルスソフトとの違いに触れながら解説しました。EDRはゼロトラストの時代に則った、重要性の高いセキュリティ対策です。アンチウイルスソフトの重要性は依然として変わりませんが、これに加えてEDRを導入することで、高度なサイバー攻撃対策が実現します。
EDRの強みへの理解を深め、適切なサービス導入を進めましょう。
