EDRとは｜次世代アンチウイルスとの違いや導入のポイントをわかりやすく解説

EDR（Endpoint Detection and Response）とは「端末での脅威を検知してインシデント対応等を支援する手法」と独立行政法人情報処理推進機構（IPA）の資料のなかで説明されています^※1。ラックでは自社サービス「マネージドEDRサービス」の中で、EDRを、クライアントPCを狙った標的型攻撃などの高度な脅威を検知し、迅速な対応を可能とするソリューションと説明しています。

スマートフォンの普及により社員が保有する端末が増え、リモートワーク・テレワークの普及により、社員が端末を扱う環境が多様化しています。その結果、端末が脅威にさらされる機会が増えており、企業は端末のセキュリティを強化する必要性が高まっています。

この記事はEDRとは何か、仕組み、なぜ注目されているのか、主な機能、導入のポイントなどの基礎知識を一通り解説します。EDRの全体像をつかんで自社施策に応用するためにお役立てください。

EDRとは

ここではEDRとは何か、どのような目的で導入されるのかについて解説します。また、混同しがちなEPPやNGAV（次世代アンチウイルス）との違いも説明します。

エンドポイント端末のソリューション

EDR（Endpoint Detection and Response）とは、「端末での脅威を検知してインシデント対応等を支援する手法」とIPAの資料のなかで説明されています^※1。また、そうした手法をサポートするソリューションのことをEDRと呼ぶこともあります。

端末（エンドポイント端末）とは、社内のパソコンやサーバ、リモートワークで利用するノートパソコンなどさまざまです。一般的には自社の情報資産にアクセスする、社内外のすべての端末がEDRの対象になります。

EDRでは、「PC等において動作するOSやアプリケーションの挙動を監視し、その挙動をもとにマルウェアに似た挙動（悪意のある攻撃を示す異常な挙動や活動の兆候）を検知」すると、総務省は説明しています^※2。これは、マルウェア本体を見つけるのではなく、マルウェアでよく行われる挙動を中心に検知させるため、既知・未知どちらのマルウェアや脅威の検知にも有効です。

EPPとの違い

EPP（Endpoint Protection Platform）とは、一般的にウイルス対策ソフト、アンチウイルスソフトなどと呼ばれるソリューションです。EDRとEPPは目的と方式が違います。EPPはマルウェア本体を発見することを目的に、マルウェアの特徴をあらかじめ記した定義ファイルとの照合によって、マルウェアを識別して防御する「シグネチャ方式」が用いられます。

一方、EDRはエンドポイントに脅威が発生したことを検知し、対策を採るための機能が充実しています。

テレワーク環境の増加で新たに設置されたVPN機器の脆弱性を狙った攻撃や、手に入れたアカウント情報を使った侵入が増えているなか、今までは既知の脅威の検知・防御（EPP）を対策として行われてきましたが、ウイルス対策ソフトを回避する未知の脅威が増加している現在、これに対応するためには、不審な挙動を見つける監視カメラのような役割のEDRが必要になります。

NGAV（次世代アンチウイルス）との違い

NGAV（次世代アンチウイルス）とは、EPPのように既知のマルウェアの特徴をパターンファイルとして保持し、そのパターンとの一致状況をもって検知するのではなく、PCなどにおいて動作するアプリケーションすべてを監視し、そのうちマルウェアに似た挙動のアプリケーションを見つけ、警告を表示したりそのマルウェアの動作を止めたりする次世代のウイルス対策ソフトであると総務省は紹介しています^※3。

従来のEPPの機能に加えて、AIや機械学習などの先進技術を搭載することで、NGAVはマルウェアの挙動から脅威を検知して防御できます。

これは「ふるまい検知方式」と呼ばれる方式で、あらかじめ用意した定義ファイルと照合するシグネチャ方式では検知できない未知のマルウェアや、ファイルに痕跡を残さないファイルレスマルウェア（非マルウェア攻撃）を検知できるのが特徴です。

NGAVとEDRの違いは目的にあります。EDRの目的は脅威の検知であり、エンドポイントの挙動で脅威を検知するのに対して、NGAVはふるまい検知方式とシグネチャ方式で検知する、脅威の侵入防御です。

EDRの仕組み

EDRが情報セキュリティ上の脅威を検知する仕組みについては、一般的に以下のように説明されています。

• エンドポイント端末の動作を常時ログに記録
• ログデータをリアルタイムでEDRのサーバに送信
• EDRのサーバ上で不審な動きを検知して管理者に通知
• マルウェア駆除やエンドポイント端末隔離などを自動実行、または手動実行

従来の方式のように端末のHDDを専用ツールで解析する必要はありません。アラートを受け取った管理者は、侵害の可能性のある端末をネットワークから切り離す処理を実施でき、その結果、迅速なセキュリティ対策が可能になり被害を最小限で抑えられます。

EDRの必要性

EDRを導入する企業が増えています。その背景には、サイバー攻撃が巧妙化していることと、リモートワークが普及したことが関係しています。ラックではEDRが必要な理由を導入運用で変わる3つのポイントとして紹介しています。

サイバー攻撃の巧妙化

総務省の資料^※2の中で「標準的なセキュリティ対策ソフト（ウイルス対策ソフト）では検出されないものも多い状況にある」と説明しています。また、同資料で、「従来型の攻撃と異なり、攻撃者がマルウェアを広範囲に拡散させようとせず、攻撃対象に絞った狭い範囲に、新種のマルウェアを用いて攻撃を行う」ため、従来のソフトでは対応できないケースが増えてきました。

このためサイバー攻撃を防御するだけでなく、侵入されることを前提とした「被害の最小化」が重要になっています。EDRを導入すれば、たとえサイバー攻撃による被害が出たとしても、状況をすばやく把握してスピーディーな対策が取れます。

リモートワークの普及

リモートワークが普及してエンドポイント端末がさまざまな環境で使われるようになったことも、EDRが注目される理由です。総務省でも、テレワークセキュリティを強化する方法の1つとして、「EDR等の高度なソリューションを導入」することを推奨しています^※2。

EDRは利用端末ごとに監視用のエージェントを入れ、クラウド上にデータを集約・解析・検知するため、インターネットにさえ繋がっていればどんな環境でも統一的なセキュリティ対策ができ、管理者に即座に通知されるため、素早い対処が可能です。社内ネットワーク内で使われず、従来のネットワーク監視では監視できない在宅勤務のパソコンは、EDRで監視するのが効果的だと考えられます。

EDRの主要機能・できること

EDRの主な機能は検知・記録・調査の3つがあります。

機能	期待される効果
検知	・従来型マルウェアの検知 ・機械学習などによる、未知のマルウェアの検知 ・マルウェアの不審な挙動の検知
記録	・エンドポイント端末で発生したイベントの取得  ◎イベントの例   ・ユーザーのログオン・ログオフ   ・コマンドプロンプトの実行とその内容   ・ファイル作成・削除   ・ファイルの読み書き   ・プロセスの実行・停止   ・ネットワークアクティビティ   ・レジストリ操作
調査	・高速な調査処理、レスポンス ・長期間をさかのぼってのイベント調査

3つの機能とできることを紹介します。

行動者の行動を可視化する

EDRはサイバー攻撃の行動を可視化する機能も備えています。例えば、不審な挙動を検出しプロセスツリーで表示したり、脅威が疑われるイベントを自動分類したり、プレイバックする機能などです。

こうした分析機能、レポート機能の目的は、管理者が短時間で原因を特定して、対策をとりやすくするためです。また、ステークホルダーにサイバー攻撃の内容や被害を説明する際にも役立ちます。

ログデータを保存する

EDRは各エンドポイントに導入されたエージェントまたはセンサーと呼ばれるソフトウェアによって、ファイル操作や通信などのログデータを保存します。このログデータはEDRの管理サーバに常時送られ、解析にかけられます。

解析の結果、データの持ち出し、マルウェアの横展開（ラテラルムーブメント）などの異常な挙動があれば、レポートやアラートとして即座に管理者に通知可能です。このように、EDRはリアルタイムでログデータを収集、解析して脅威を検知できるため、例えば足跡を消去するマルウェアが侵入した場合などにも対応できます。

攻撃検出時にブロック・削除する

EDRはサイバー攻撃を管理者に通知します。

EDRを導入していない場合は、マルウェアが検知された際に、管理者自らがエンドポイント端末からマルウェアのファイルを削除したり、LANケーブルを外したりするなどの作業に追われるケースがあるでしょう。一方、EDRを導入していれば、こうした対策に該当する処理を簡単に実施できる機能が備わっているため、サイバー攻撃の2次被害を最小限に抑えられます。

進化するEDRの機能

EDRのデメリットは、担当者の運用負荷が増えることです。また異常を検知できても、専門知識が乏しいために対策が取れないケースも少なくありません。

もちろん、EDRソリューションも日々進化しており、自動的に脅威を無効化する機能も備わっています。マルウェアのファイルを削除したり、エンドポイントの通信を遮断して隔離したりするといったものです。この自動防御機能は、迅速なセキュリティ対策と管理者の負担軽減に役立ちます。

EDRの進化版、「XDR（Extended Detection and Response）」では、エンドポイントのみならずクラウドやメールサーバなどのログも収集して、総合的な分析が可能です。

導入するEDRソリューション選定のポイント

検知性能の高さ

EDRはサイバー攻撃による異常を検知するためのソリューションですので、最も重視しなければならないのは検知性能です。セキュリティ対策ではマルウェア駆除や侵入防御などに目が向きがちですが、EDRはいかに早く異常を検知して調査や復旧につなげられるかという観点で選びましょう。

特に重要なのは、侵入防御をすりぬけやすい未知のマルウェアを使ったサイバー攻撃に対する検知性能です。組み込まれた検知ルールや、脅威インテリジェンス（サイバー攻撃の専門家の分析結果）の更新頻度などをチェックします。

調査支援機能の充実度

原因を調査、究明するための支援機能が充実しているかどうかも比較検討しましょう。膨大なログを人が分析するのは難しいため、脅威を検知したときの状況を視覚的にわかりやすくする機能が重要です。例えば、時系列のプロセスツリーで表示する機能などがあります。

調査支援機能の優劣は、対応の早さや管理者の負担軽減に直結します。現場に直接ヒアリングするなどして使いやすさを確認しましょう。

サーバの分析処理能力

エンドポイントから集められたログの集約・分析には、一定のコンピュータ処理能力が必要です。近年では、クラウド型の管理サーバを導入するケースが増えています。これは十分な性能を持った事業者のサーバを利用できるうえ、初期費用が安く、保守運用も任せられるためです。

ただし、外部に情報を出せない場合や、高いセキュリティレベルを実現したい場合などでは、自社にサーバを設置するオンプレミス型の管理サーバを導入する方法もあります。

端末保持者への展開の容易さ

後述しますが、運用管理が容易かどうかも大切な検討ポイントです。エンドポイント端末の利用者が簡単にエージェントをインストールできるか、プリインストールできるかなどを検討します。

また、在宅勤務やモバイルワークなどの普及にともない、EDRの対象端末も増えています。WindowsやMac、iOS、Android、Linuxなどのマルチデバイスに対応しているかどうかも確認しておきましょう。

第三者評価・実績

製品のカタログスペックを比較するだけでなく、検知性能や調査支援機能などについて第三者の評価を参考にするのもよい方法です。中立的な立場で性能や機能を検証したレポートは、選定の参考になるでしょう。

有事の際の説明責任を果たせること

事故に対する説明責任を果たすためには、原因や対象範囲など、詳細まで把握する必要があります。EDR運用にあたっては、アラートの真偽判断や、インシデントと判断した際の原因調査が必要となり、それにはフォレンジック調査の知見など、EDR製品の設定や操作以外の専門知識が必要となります。

動作痕跡がすべて記録される

EDR製品にはログの記録方式として常時記録タイプとイベント記録タイプがあります。イベント記録タイプのみのEDR製品だと、マルウェアを検知した場合などしか記録が残らず、あとから調査しようとしても、不正通信のログがなく感染経路などを調査することができません。「動作痕跡がすべて記録される、常時記録タイプの製品」であることが、重要な選定ポイントとなります。

EDRの運用は難しいか

EDRの運用は、アラートが発生した際の対応が難しいという課題があります。アラートが誤検知なのか、それとも重大なインシデントの発生なのかを見定めるには、攻撃に対する知見と経験値、そして技術力が必要になります。

しかし、そのような課題にもEDR運用の専門知識を持った事業者からEDR導入することで対応できます。既にEDRを導入済みであっても、EDR運用サービスのみを依頼することもできます。

さいごに

EDRはエンドポイント端末のログを収集することで迅速に異常を検知し、被害を最小化することをコンセプトにしたソリューションです。サイバー攻撃が巧妙化し、リモートワーク普及などによってPCの利用範囲が広がるなか、活用が進んでいます。

従来のEPPやNGAVでのセキュリティ対策に限界を感じているなら、検知性能や調査支援機能などを比較検討したうえで、自社にあったEDRソリューションを導入しましょう。

導入を検討する際は、弊社までお気軽にご相談ください。