EDRによる次世代セキュリティ対策と企業における導入アプローチについて解説

進化するサイバー脅威に対応する次世代のセキュリティソリューションのひとつが「EDR (Endpoint Detection and Response)」です。

企業がEDRの運用・管理を代行するマネージドEDRサービスにおいて、2022年度の市場規模は前年度42.6%増の156億円で、2027年度には300億円近くになると予測されています。

本記事ではEDRの概要や導入アプローチ、効果的な運用方法について解説します。

EDRの概要と従来のセキュリティ対策との違い

サイバー攻撃の高度化と多様化に伴い、従来の防御中心のセキュリティ対策だけでは企業のITシステムや重要な情報を守ることが困難になっています。

この課題に対応するために開発されたのが、侵入後の脅威検知と迅速な対応に特化したEDRです。

セキュリティ対策の進化系「EDR」とは

EDRは、エンドポイント（ネットワークに接続されたすべての端末や機器）セキュリティを担う新しいアプローチです。

サイバー攻撃は日々高度化しており、従来のセキュリティ対策の中心であった「侵入防止」が難しくなり以下のようなタイプによる被害が増えています。

ファイルレスマルウェア：従来のアンチウイルスソフトでは検知が困難な、ファイルを使用しない攻撃

標的型攻撃：特定の組織や個人を狙いマルウェアに感染させる攻撃
ランサムウェア：画面ロックやデータの暗号化を行い、身代金を要求する攻撃
サプライチェーン攻撃：セキュリティが脆弱な取引先や子会社を経由して大組織を狙う攻撃

そのため従来の事前防御対策ではなく、エンドポイントの常時監視により「侵入後いかに迅速に対処し被害を最小限にするか」という事後対策に特化したのがEDRです。

（出典：東京都産業労働局　サイバーセキュリティの基礎知識）

EDRの主要機能とメリット

EDRの基本的な仕組みは以下のとおりです。

1. 監視	エンドポイントの活動を常時監視し、ログを収集ファイル操作ネットワーク接続レジストリの変更プロセスの実行・停止など
2. 検知	収集したログをサーバーで解析し、異常な挙動やマルウェアを検出。同時に、管理者にアラートで通知
3. 分析	収集したログを詳細に分析し、マルウェアの種類や影響範囲を特定。攻撃の全体像を把握
4. 対応・復旧	設定に応じて自動的に対応し、迅速に脅威を封じ込め・排除感染したエンドポイントの隔離、マルウェアの削除、システムの修復などを行い正常な状態に復元、被害を最小限におさえる

1. 監視

エンドポイントの活動を常時監視し、ログを収集

ファイル操作
ネットワーク接続
レジストリの変更
プロセスの実行・停止など

2. 検知

収集したログをサーバーで解析し、異常な挙動やマルウェアを検出。同時に、管理者にアラートで通知

3. 分析

収集したログを詳細に分析し、マルウェアの種類や影響範囲を特定。攻撃の全体像を把握

4. 対応・復旧

設定に応じて自動的に対応し、迅速に脅威を封じ込め・排除

感染したエンドポイントの隔離、マルウェアの削除、システムの修復などを行い正常な状態に復元、被害を最小限におさえる

EDRの大きな特徴はログの収集と分析にあります。また、長期間保存されたログデータを用いたフォレンジック分析により、過去のインシデントの分析から将来の防御にも活用可能です。

EDRの導入により、以下の4つのメリットが得られます。

早期の脅威検知と自動化による迅速な対応
影響範囲の迅速な特定
高度な脅威への対策
フォレンジック分析によるセキュリティ対策の改善・強化

EDRはこれらの機能を通じて、複雑化・高度化するサイバー脅威から企業の重要な情報資産やシステムを守る上で重要な役割を果たします。

EDRとほかのセキュリティ対策との違い

ログの収集と分析に特徴を持つEDR以外にも複数のセキュリティ対策があります。それぞれの特徴について見てみましょう。

種類	特徴
EPP (Endpoint Protection Platform)	事前防御（マルウェア感染防止）に焦点を当てる蓄積した既知のマルウェア情報とのパターンマッチング（アンチウイルスソフトが代表的）により検知
NGAV (Next Generation AntiVirus)	EPPの進化形 AIや機械学習を活用し未知の脅威を予測して検知振る舞い（不正な動作・不審な動き）検知などの高度な機能を持つ
NDR (Network Detection and Response)	事後防御に焦点を当てるリアルタイムでネットワーク上の内部/外部通信を監視 AIや機械学習で学習したネットワークの正常な状態を基にネットワークトラフィックの継続的な分析により異常を検知、管理者に通知
XDR (Extended Detection and Response)	EDR/NDRの拡張版でより広範囲な脅威の検知と対応が可能 AIや機械学習を用い、エンドポイント以外のデータソース（メール、ネットワークなど）も含む複数レイヤーの情報を相関分析脅威のトリアージ（優先順位付け）と自動対応を行う

これらのセキュリティ対策はそれぞれ独自の特徴と強みを持っており、適切な組み合わせによる対策が重要です。

企業規模で変わるEDRの重要性と導入戦略

はじめに、プロジェクトの目的や達成したいゴールを具体的に定め、チーム全体で共有します。この段階では、「誰が」「何を」「いつまでに」「どのように」行うかを明確にします。

目標が曖昧では途中で方向性を見失ったり、チーム間で認識のズレが生じたりするリスクが高まるため、明確にしておくことが重要です。

目標設定時には、「SMARTの法則」（具体的・測定可能・達成可能・関連性・期限）に基づいて設定すると、目標達成の精度を高めやすくなります。

中小～中堅企業におけるEDRの重要性と導入のポイント

IPA（情報処理推進機構）が2020（令和2）年度に中小企業約1,100社を対象に行った実証実験によると、外部から侵入を試みる不審なアクセス検知は181,536件にものぼりました。単純計算で1社あたり165件となり、中小企業も日々サイバー攻撃のリスクにさらされているといえます。

メディアでは大企業へのサイバー攻撃が注目されがちですが、以下の4つの理由から中小〜中堅企業にとってもセキュリティ対策は極めて重要です。

セキュリティ対策にかけるリソースが限られている中小～中堅企業は攻撃者にとって侵入しやすくターゲットとなりやすい
侵入のハードルが低い中小企業を大企業のシステムに侵入する足がかりにする「サプライチェーン攻撃」のターゲットとしても狙われやすい
中小～中堅企業はサイバー攻撃による被害の影響が深刻になり、企業の存続にかかわる
専門部署がない多くの中小〜中堅企業では、サイバー攻撃が起こった場合迅速に適切な対策が取れず被害が拡大しやすい

前述の実証実験では、対処を怠った場合の想定被害額が5,000万円を超える案件も確認されており、中小〜中堅企業こそセキュリティ対策が急務といえるでしょう。

中小〜中堅企業がEDRを選定する際のポイントとして重要なポイントが以下の3つです。

コスト面：サーバーを自社サーバーではなくコストが低いクラウド型にする
運用のしやすさ：管理画面が分かりやすく、少ない人数でも運用できる製品を選ぶ
サポート体制の充実：自社で運用するリソースがない場合、EDRの監視・運用のアウトソースまで含めたMDRの導入も検討する
セキュリティに関する啓蒙活動：システムの導入だけでなく、普及活動を行い従業員のセキュリティに対する情報不足を補う

これらの要素を考慮し、自社のセキュリティニーズと予算に合ったEDRソリューションを選択しましょう。

大企業におけるEDRの重要性と導入のポイント

中小企業とは異なる理由から、大企業においても同様にEDRは非常に重要な役割を果たします。

大企業においてEDRの導入が求められる理由は主に以下の2点です。

多様な業務やシステムが複雑に連携し、多数のエンドポイントを管理するため全体の把握が難しい
導入するデバイス数が多く、運用上の負担が大きい

そのため、大企業で導入されるEDRを選定する際には以下の視点で選ぶ必要があります。

複雑なIT環境への対応：大企業の多様なシステムやデバイスに対応できる柔軟性と拡張性を持つEDRソリューションを選択する
エンドポイントの包括的対策：PCやサーバーだけでなく、モバイルデバイスやIoTデバイスなど、多様なエンドポイントを統合的に管理できるEDRを導入する
運用効率化のための機能活用：リモート管理機能や自動対処機能を活用し、大規模な環境でも効率的な運用を実現できるEDRを選定する

セキュリティ対策における EDR導入の課題と対策

EDRの導入は日々進化するサイバー攻撃に対する有効な手段ですが、課題がいくつかあります。

発生する大量のアラートから誤検知の判断をするためには高度なセキュリティ知識が必要となる
異常発生時の対応に関して判断が必要になる
24時間365日の監視体制を維持する必要がある

これらの課題解決策として、多くの企業が24時間365日体制でセキュリティの監視・分析を代行するサービスであるMDRを活用しています。内部にセキュリティ専門のリソースを割くことが難しい中小〜中堅企業や複雑なIT環境を持つ大企業にとって、MDRの活用はこれらの課題に対し効果的なソリューションのひとつです。