EDRとは｜エンドポイントセキュリティ強化の基本概念と導入ステップ

EDRとは？システム担当者が知っておくべき基本概念

新しいICT環境が生まれるなかで、サイバーセキュリティの概念もどんどん新しいものが登場しています。多くの概念があるので、キャッチアップが大変と感じる人も多いかもしれません。
EDRのメリットや導入ステップの前に、まずはEDRとは何かを押さえておきましょう。

EDRの定義・目的

EDRとは「Endpoint Detection and Response」の略。エンドポイント端末（パソコンやスマートフォンなどのネットワークに接続された端末）に発生したセキュリティインシデント（不正侵入やウイルス感染など）を検知・分析し、対応するためのソリューションです。
EDRの目的はエンドポイント端末の脅威を早期に発見し、被害の拡大を防止することです。その後、速やかに原因や影響範囲を特定し、適切な対策を実施します。

EDRの特徴と4つのメリット

EDRには主に4つのメリットがあります。

脅威を早期に発見できる

EDRはエンドポイント端末にインストールされたエージェントやセンサーが、端末内の通信やプロセス、ファイルなどの活動を常時監視し、異常な挙動やパターンを検知します。
これにより、従来のシグネチャベースの手法では検知できない未知の脅威や潜伏型の攻撃も早期に発見できるのが特徴です。また、EDRは検知した脅威に関する詳細な情報（発生時刻や場所、影響範囲など）を収集し、管理者に通知します。そのため管理者は、従来のセキュリティに比べて、迅速かつ正確な対応ができるようになります。

被害の詳細を把握できる

EDRにはエンドポイント端末で発生したセキュリティインシデントの原因や経緯を分析する機能があります。エンドポイント端末から収集したデータをもとに、インシデントの発生や拡散、影響までを可視化してくれるため、管理者は被害の全体像や深刻度を把握できるのです。
また、EDRはインシデントの根本原因や攻撃者の目的・手法も推測できるので、再発防止や予防策に役立ちます。

被害の拡大を防止できる

EDRはエンドポイント端末で発生したインシデントに適切な対応をする機能があります。検知した脅威に対して自動的に隔離や削除などの対応ができるので、被害の拡大を防止できるのです。
また、EDRは管理者がリモートでエンドポイント端末を操作することも可能です。これにより、管理者は手動でのレスポンスや復旧作業を行うことができます。

社外接続でもセキュリティを担保できる

EDRはエンドポイント端末が社外のネットワークに接続されていても、セキュリティを担保できるのが特徴です。エンドポイント端末がインターネットに接続されていれば、クラウド上のサーバと通信し、データの収集や分析、対応などの機能を利用できます。
このようなEDRの特徴のおかげで、在宅勤務や出張などで社外に持ち出されたエンドポイント端末も、セキュリティを確保できるのです。

EDRの重要性が増している3つの理由

エンドポイントセキュリティは、ネットワークに接続されたデバイスやシステムを保護する重要な対策です。
しかし、サイバー攻撃の手口が高度化・複雑化する近年、従来のエンドポイントセキュリティ製品では対応できないケースが増えているため、EDRの導入に関心が高まっています。背景にはどういった理由があるのか、次の3つのポイントを見ていきましょう。

セキュリティ脅威が増加している

令和4年版の総務省「情報通信白書」によると、サイバー攻撃は2021年時点で2018年比の2.4倍、2016年比の3.7倍に増加しました。ランサムウェアや標的型メール攻撃などサイバー攻撃の中身も年々高度化していることから、対応の重要性も高まっています。
これらの高度な攻撃は、従来のエンドポイントセキュリティ製品では検知できないことが少なくありません。その点、エンドポイント端末の動作や通信を詳細に監視し、異常なパターンや挙動を検出するEDRは被害の拡大を防止できると言われています。

エンドポイント端末が多様化している

リモートワークや社内で管理していない私用デバイスの業務使用など、働き方の変化によって企業のネットワークに接続されるエンドポイント端末は多様化しています。そして、近年はパソコンやスマートフォンだけでなく、タブレットやIoTデバイスなどもあり、エンドポイント端末の境界が曖昧になってきました。
これらのエンドポイント端末はそれぞれ異なるOSやアプリケーションソフトを持っているので、セキュリティパッチの適用状況もさまざまです。そのため、一律にセキュリティ対策を施すことが難しくなっています。
その点、EDRならエンドポイント端末ごとにカスタマイズされたエージェントやセンサーを配備し、統一的な管理をすることが可能です。多様なエンドポイント端末に対応できることも、EDRの重要性が高まっている理由のひとつといえます。

早期発見と対応が求められている

サイバー攻撃の被害を最小限に抑えるためには、攻撃を早期に発見し、迅速に対応することが重要です。しかし、エンドポイント端末で発生したセキュリティインシデントを十分に分析できず、原因や影響範囲を把握できないまま対処すると、根本的な解決に至らず、再発や拡大のリスクが残ってしまいます。EDRを導入すれば、エンドポイント端末から収集したデータをもとにインシデントの詳細な分析や可視化を行い、適切な対応ができるようになるでしょう。

EDRの基本的な動作原理とワークフロー

続いて、EDRの基本的な動作原理とワークフローを解説します。詳しい仕組みを知ることで他のセキュリティ対策との違いも理解できるため、セキュリティ対策に関心がある方はぜひ参考にしてみてください。

EDRのエンドポイントエージェント／センサー

まず、エンドポイント端末にエージェントやセンサーと呼ばれるソフトウェアをインストールします。
エージェントやセンサーは、エンドポイント端末の動作や通信を常時監視し、異常なパターンや挙動を検出するものです。検知したデータをEDRの管理サーバに送信し、分析や可視化を行います。その後、管理サーバからの指示にしたがって、エンドポイント端末への対応を実行します。

EDRの基本的なワークフロー

続いて、EDRのエージェントやセンサーの仕組みを見ていきましょう。基本的なワークフローは次の3つのステップで構成されています。

■監視とデータ収集

EDRはエンドポイント端末の動作や通信を常時監視し、プロセスやファイル、レジストリ、ネットワークトラフィックなどの詳細データを収集します。データはEDRの管理サーバに集められ保存されます。

■検出と分析

EDRは収集したデータをもとに、エンドポイント端末に発生したセキュリティインシデントを検出します。EDRは検出したインシデントを詳細に分析し、原因や影響範囲、攻撃者の意図や手口などを把握します。

■対応

EDRは検出したインシデントを適切に処理できるのが特徴です。例えば、マルウェアに感染した場合は次のような対応を行います。

●    端末を特定しネットワークから切り離してマルウェアを隔離
●    隔離した端末内の危険なファイルを特定・削除
●    マルウェア本体のプロセスも強制終了し駆除
●    隔離したエンドポイント端末をフルスキャンして、隔離から復元
●    書き換えられたレジストリを修復

EDRはインシデントの発生を完全に防ぐことはできないという考え方から、発生後の被害を最小限に抑えるための機能が搭載されています。
なお、対応は自動的なものだけでなく、人間が判断や操作を行うこともできます。インシデントの報告や記録もしてくれるので、EDRがあれば企業の法的な義務や監査対応もスムーズになるでしょう。

EDR導入に向けた5つのステップ

エンドポイント端末のセキュリティ強化に有効なEDRを導入したいと考えた人も多いのではないでしょうか。ここからは、導入に向けた5つのステップを見ていきましょう。

1.要件を定義する

EDRを導入する目的や目標を明確にし、どのような機能や性能が必要かを洗い出します。例えば、次のような要件を考えてみるとよいでしょう。

●    エンドポイントの対象範囲
●    対応する脅威
●    レポーティングやアラートに必要な情報
●    予算
●    導入期限
●    導入に必要な人員やリソース

2. 環境の評価と準備

EDRを導入する前に現在のエンドポイント環境やネットワーク環境を評価し、EDRとの互換性や影響範囲を確認します。またEDRに必要なハードウェアやソフトウェア、ネットワーク帯域なども準備しましょう。

3. 運用ポリシーと手順を策定する

EDRを効果的に運用するには、運用ポリシーと手順の策定が必要です。運用ポリシーを考えるにあたっては、次のような項目を検討してみるとよいでしょう。

●    収集する情報やアラートの管理方法
●    責任者
●    対応策

また、EDRの設定やパラメーターも適切に調整し、最適化します。

4. テストと社員のトレーニング

EDRを本番環境に導入する前に、テスト環境で動作確認や検証を行います。EDRが正しく機能しているか、想定したとおりに検知・分析・対応できるか、パフォーマンスや安定性に問題がないかなどをチェックしましょう。また、EDRを運用する社員に対してもトレーニングを行い、EDRの使い方や操作方法、インシデントへの対応方法などを教育します。

5. 継続的な運用・監視

EDRを本番環境に導入した後も、継続的な運用・監視が重要です。EDRから得られる情報やアラートを定期的に確認し、インシデントへの対応や分析を行います。また、EDRの設定やパラメーターも定期的に見直し、最新の脅威情報や環境変化に合わせて調整していきましょう。

EDRの導入に向けた注意点

ここまでを読んで、EDRがあればエンドポイント端末のセキュリティ対策は万全と感じられるかもしれません。しかし、EDRにもいくつかの弱点があります。最後に導入の注意点を解説します。

正しく検知しないことがある

EDRの精度は100%ではありません。誤検知や見逃しをしてしまう可能性もあります。すべてをEDR任せにせず、人間の判断や分析も必要であることを理解しておきましょう。

データ処理の負荷を考慮する必要がある

エンドポイント端末から大量のデータを収集・送信・分析するEDRのデータ処理には、多くのリソースや時間がかかります。エンドポイント端末やネットワークに負荷がかかるので、デバイスやネットワークのパフォーマンスや安定性に影響を与えることもあります。EDRの導入時は、デバイスやネットワークのリソース消費の影響を検討する必要があるでしょう。

専門知識と経験のあるスタッフが必要

EDRはエンドポイントセキュリティの専門的な知識や経験のあるスタッフが運用することが望ましいでしょう。EDRが収集する情報やアラートを理解し、適切な対応策や分析方法の選択には専門知識が欠かせません。EDRの設定やパラメーターの調整も同様です。自社に適切な人材がいない場合は、外部の専門企業を活用することも検討してみることをおすすめします。

まとめ

EDRはエンドポイント端末のセキュリティを強化する技術です。侵入されることを前提に感染後の被害を最小限に抑えるための機能が搭載されています。EDRは、既知のものだけでなく未知の脅威にも対応できますが、誤検知や見逃しもある可能性を十分に理解しておくことが大切です。EDRを正しく理解し、効果的に運用することで、エンドポイント端末のセキュリティを高めていきましょう。

オプテージでは、EDR製品などお客さまの環境に最適なセキュリティソリューションのご提案を行っています。EDR製品のご提供にあたっては、セキュリティの専門家であるスタッフがEDRの稼働状況を24時間監視し、インシデント発生時には対処まで行う運用サービスもセットでご用意しています。EDR製品・サービスの詳細については、こちらをご覧ください。

◎製品名、会社名等は、各社の商標または登録商標です。