EDRとは
EDRは「Endpoint Detection and Response」の略です。エンドポイントとはパソコンやスマートフォンなどネットワークの末端のことであり、EDRはそのエンドポイントを監視・分析・制御するシステムのことを指します。
近年、テレワークの普及やサイバー攻撃の巧妙化によって、ますますエンドポイントにおけるセキュリティの重要性は高まっています。これに伴い、EDRの需要も伸びることになりました。
なぜEDRの導入が必要なのか
近年のサイバー攻撃は日々巧妙化しており、従来型のウイルス対策ソフト(EPP)ではすべての脅威に対応しきれなくなっています。特に、未知のマルウェアやゼロデイ攻撃、標的型攻撃といった手口に対しては、侵入を防ぐだけでなく侵入後の挙動を検知し、迅速に対処する仕組みが求められています。
EDRは、エンドポイント上で発生する不審な挙動をリアルタイムで監視・分析し、攻撃の兆候をいち早く検知して対応を支援するセキュリティ対策です。たとえウイルスの侵入を許してしまっても、被害の拡大を防ぎ、復旧までの時間を短縮できることが、EDRを導入すべき大きな理由といえるでしょう。
EPPとの違い:防御対象がウイルスの侵入前か・後か
EDRと同様に、エンドポイントのセキュリティを担うシステムとしてEPP(Endpoint Protection Platform)があります。両者の違いは、対処するのがウイルスの侵入前か・後かという点です。
EPPはウイルスの侵入を防ぐシステムです。主にパターンマッチングを用いてウイルスがエンドポイントに侵入するのを阻止します。ところが、既知の脅威と同様のものを排除するパターンマッチングでは、未知のウイルスの侵入を防げません。
こうして侵入を許してしまった脅威に対処するのがEDRの役割です。ウイルスの挙動を監視・分析し、被害を最小限に抑えます。 EDRはEPPと比較してまだ普及が進んでいないのが現状です。ほとんどの企業はEPPのみを導入しており、未知のウイルスによって知らぬ間に被害を受けている可能性があります。
EDRを導入する2つのメリット
EDRを導入すると、具体的にどのようなメリットが得られるのでしょうか。
ウイルスの感染状況を素早く検知・分析できる
未知のウイルスに侵入された場合、特に恐ろしいのは被害を受けていることになかなか気づけないことです。パターンマッチングで検出できない以上、別の仕組みで検出しなければ知らぬ間に被害が広がります。 そこでEDRの出番です。
EDRはエンドポイント内の様子を監視し、振る舞い検知機能やAIによって異常を検知し次第、原因・被害状況の分析に乗り出します。さらに管理者へアラートで通知することで、速やかな対応を支援します。
ウイルスの感染拡大を抑えられる
EDRの役割は、単に未知の脅威を検出・分析するだけではありません。感染拡大を抑えるための具体的な対策も実行します。 例えば、ウイルスが発見されたエンドポイントをネットワークから切り離します。こうすることで、ネットワークを介してウイルスが他のエンドポイントに被害をもたらすのを防ぐのです。
また、エンドポイントで発見された危険性の高いファイルを削除したり、実行されているプログラムを強制的に止めたりして事態の収拾に努めます。基本的に、ウイルスがエンドポイントを襲う際、その目的は端末に保存されているデータを奪うことです。ウイルス感染済みの端末をネットワークから隔離することで、他の端末への感染を阻止するとともに、情報の流出を防ぎます。
EDRを導入する2つのデメリット
EDRにはデメリットもあり、そのために普及がなかなか進んでいません。代表的なデメリットを2つ紹介します。
導入にコストがかかる
EDRの導入コストは、基本的にエンドポイントの数に比例します。つまり、パソコンやスマートフォンなどの端末が多ければ多いほど、費用がかさむのです。
製品によって費用はさまざまですが、月額料金の相場はエンドポイント1つにつき数百円です。しかし、今やビジネスに多くのIT機器が使われていることを考えると、1つ数百円といえど侮れません。例えば、1つにつき月額500円で、エンドポイントが100個あるなら月額50,000円、年額600,000円です。長期的に見ると大きな負担になるでしょう。
また、EDRはウイルスの侵入を阻止できない点も要注意です。必然的にEPPなどの侵入阻止システムと組みあわせて使わなければならず、そちらのコストもあわせて考える必要があります。
運用にリソースを割く必要がある
セキュリティは、導入するものではなく運用するものです。どれほど優れたシステムを導入しても、それを使いこなせなければ意味がありません。したがって、EDRを導入する際には、運用できるスタッフの確保が大切です。
ところが、その人材確保に悩んでいる企業が少なくありません。EDRの運用には高度な知識やスキルが求められるからです。セキュリティ専任の担当者を確保できるのは一部の大企業に限られ、多くの企業にとっては大きな壁として立ちはだかります。 自社で人材を確保できない場合は、外部の企業に委託する方法もあります。しかし、その場合は委託料が発生するため、コストアップに注意が必要です。
エンドポイントセキュリティとしてEDRの導入が適している企業
エンドポイントセキュリティの強化が求められる今、特にEDRの導入が適しているのはテレワークを実施している企業です。テレワーク環境では、従業員が社外ネットワークや私用端末を利用する機会が増え、これまで以上にエンドポイントが攻撃対象となるリスクが高まっています。
例えば、社外での業務ではIT部門の監視が行き届かず、不審な挙動や情報漏えいの兆候を見逃してしまう可能性があります。また、マルウェアが侵入しても、発見や対応が遅れれば甚大な被害に発展しかねません。
そこで注目されているのがEDRです。EDRは、社内外問わずあらゆるエンドポイントの挙動を可視化し、不審な動きを即座に検知・通知することで、攻撃の拡大を防ぎます。テレワークのような目が届きにくい環境でも、EDRを導入することでエンドポイントセキュリティの中核を担うことができるのです。
EDRの必要性を理解し、導入を検討しよう
サイバー攻撃の高度化やテレワークの普及により、エンドポイントセキュリティの強化は避けて通れません。従来のEPPだけでは対応しきれない脅威に備えるため、EDRの導入は極めて重要です。
「侵入を防ぐ」だけでなく「侵入後の対処」まで視野に入れた対策を講じることで、被害の最小化と迅速な対応が可能になります。
自社にあったEDR製品を比較・検討し、強固なセキュリティ体制を整えましょう。
