EDR(Endpoint Detection and Response)とは何か?
拝啓 奥さんへ
EDR(Endpoint Detection and Response)とは、ネットワークに接続されたパソコンやスマートフォン、サーバーなどのデバイス(エンドポイント)を監視し、サイバー攻撃などの脅威を検知・対応する仕組みです。具体的には、組織内のネットワークに接続されているエンドポイントからログデータを収集し、解析サーバーで相関解析、不審な挙動・サイバー攻撃を検知し、管理者に通知します。通知を受けた管理者はEDR管理画面でサイバー攻撃を確認し、遠隔で対処するエンドポイント・セキュリティ・ソリューションです。
EDRの仕組み
EDRは、エンドポイント上でマルウェアやランサムウェアによる不審な動きがないかどうか、常時監視を行います。そのために、監視対象のエンドポイントに専用のエージェントソフトウェア(もしくはセンサー)を導入し、ログをリアルタイムで常時取得しています。このログデータはサーバ上に集められ、まとめて分析処理が行われます。ここでもし疑わしい挙動の痕跡が見付かったら、その旨をすぐに管理者に通知します。
この通知を受け取った管理者は、EDRの管理画面でログの内容をさらに精査することで問題の根本原因や影響範囲を調べ、適切な対応を取ります。EDRは、こうした事後対応を迅速かつ効率的に行えるように、ログの内容をさまざまな角度から分かりやすく可視化する機能も提供します。
EDRは以下の基本機能を備え、サイバー脅威が侵入した際の被害拡大を防止します。
検知
エンドポイント端末のログを収集しサーバで解析し、ウイルスの不審な挙動を自動で検知します。ハッシュ値やIPアドレス、ドメイン名などを既知のマルウェアと照合するほか、振る舞いの照合やAI機械学習を用いた自動検知が可能です。隔離
通知を受けたセキュリティ管理者はリモートで作業を行い、感染したエンドポイント端末をネットワークから遮断し隔離します。感染したエンドポイント端末にマルウェアを封じ込め、感染拡大による二次・三次被害の防止も可能です。調査
収集したエンドポイント端末のログ情報をもとに、不審な挙動が疑われるプログラムやプロセスが見つかると、マルウェアの種類や侵入経路を調査します。感染したエンドポイント端末を特定し、被害範囲の割り出しも可能です。復旧
振る舞い検知やAI機械学習によってマルウェアを素早く検知し、隔離したエンドポイント端末のマルウェアを駆除して再稼働可能な状態にする機能です。
また、EDRだけでなく、SOC(Security Operation Center)と呼ばれる専門家チームでの対応をセットにしたソリューションも提供されています。EDRで異常を検知した後の分析や対処をSOCが担います。
EDRが注目されている背景
近年ではサイバー攻撃が高度化・巧妙化し、完全に脅威の侵入を防ぐことは難しいとされています。大手企業でもサイバー攻撃による情報漏えい事故が発生し、情報セキュリティ対策の強化が求められるようになりました。IT化の促進により、個人所有のデバイスを業務利用するBYODの導入が世界的に促進され、監視すべき企業のエンドポイント端末は増加しています。接続エンドポイントが増えれば増えるほど、マルウェア侵入時の調査や復旧作業は煩雑化するでしょう。そのため、多くの端末を一括管理でき、万が一マルウェアが侵入した場合にも被害の拡大を最小限に抑えるエンドポイントセキュリティ対策の重要性が高まっています。
また、働き方改革により、テレワークやモバイルワークが普及したこともセキュリティリスクを高める一因です。BYODのほか、自宅や外出先などにおいて従業員が社内以外のネットワークに接続し業務を行う機会が増えました。それにともない、自社のエンドポイント端末がサイバー攻撃の標的になる機会も増加しています。
IDC Japan 株式会社の2020年9月の調査から、エンドポイントセキュリティ製品の市場はここ数年、右肩上がりで伸びていることがわかります。とくに2020年は、新型コロナウイルス感染症拡大の影響でリモートワークが普及したことや、標的型攻撃対策への関心の高まりなどによって、エンドポイントセキュリティ製品の需要が高まっています
EDRを導入するメリット
サイバー攻撃の手口が巧妙化する近年では、完璧な侵入防止は困難といわれています。理由はAIを悪用して強固なセキュリティ網や暗号化の仕組みを突破したり、既知のマルウェアをもとに未知のマルウェアを作り出したりすることが容易になってきていることです。そのため、エンドポイント端末へのウイルス侵入を防ぐ対策だけでなく、ウイルスの侵入を前提としたセキュリティ対策が不可欠です。そこで注目されているのがEDRです。EDRには以下のような導入メリットがあります。
マルウェア検知後の迅速な影響範囲を特定できる
インシデント発生後の対応時間を大幅に短縮できる
運用を外部に委託できる
EDRを活用すれば、自社のすべてのエンドポイント端末をリアルタイムで監視し、不審な挙動を検知すると早急に原因の究明や感染経路、影響範囲などの調査・分析が行われます。また、検知と同時に管理者へアラート通知するため、マルウェアからの被害拡大を防ぐ迅速な事後対応が行えます。
また、侵入した脅威の駆除・復旧後は内部調査や原因特定、状況報告などが必要です。多くの時間を費やさなくてはならないほか、セキュリティ専門要員を社内に抱える必要があり、コスト負担も大きくなります。EDRを導入し、運用を外部に委託すれば時間も費用も節約できます。
EDRの選び方と導入コスト
現在、市場にはさまざまなEDR製品が存在しますが、そのすべてがEDRに求められる機能を完全に備えているわけではありません。そこでEDR製品の導入を検討する際には、さまざまな観点から機能や性能の評価の比較を行う必要があります。
検知能力は十分か?
調査作業を支援する機能は十分か?
利用者に容易に展開できるか?(対応OSはWindows、Mac、Linux)
サーバ上の分析処理の精度は十分か?(クラウドからオンプレミスか?)
第三者機関によるEDR製品の評価はどうか?
EDR単体ではなくエンドポイントセキュリティ全体をカバーできるか?
ネットワークへの負荷は問題ないか?
他ジャンルとのセキュリティとの組み合わせに問題はないか?
また、EDRの導入費用や期間ですが、あくまで目安です。導入時の要件によって異なりますのでご注意ください。
(1)導入費用
EDRのライセンス費用はSOCサービス込みで年額6,000円/台(税込6,600円)程度が一般的な目安になります。ただ実際には利用するほかの機能や、契約端末の数によるボリュームディスカウントなどもあるため、企業によって金額は異なります。また、導入や運用についてもアウトソースする場合は、その費用も予算に組み込むことが必要です。詳細な金額はサービス提供ベンダーから見積りをもらうことをお勧めします。
(2)導入期間
導入期間は、概ね2カ月程度になります。ただし、複数拠点に導入するケースや従業員数が多い場合は、実際の運用開始までにさらに時間がかかりますので、注意が必要です。導入時にサービス提供ベンダーと打合せを行い、実態に則した現実的なスケジュールを組む必要があります。導入後は利用者からの問い合わせが情報システム部に殺到する可能性が高いので、あらかじめて対策チームを組んでおくことをお勧めします。
EDRのシェア
国内のEDR(Endpoint Detection and Response)市場におけるシェアは、サイバーリーズンが5年連続で1位を獲得しています。2022年度の国内EDR製品市場(出荷金額)でシェア1位を獲得し、5年連続でシェア1位となりました。
グローバルトップブランドとしては「SentinelOne」「Cybereason」「クラウドストライク」などがありますが、製品の比較には調査機関が提供するホワイトペーパーなどを参考にすると良いでしょう。
最後に
万能のソフトウェアというものは存在しません。2024年7月19日にWindows環境において、850万台という世界規模のブルースクリーンを引き起こし、多くのシステムで障害が発生しました。セキュリティ製品(EDR)であるはずの「CrowdStrike」社のアップデートが原因でした。そのようなリスクがあることも考慮して、EDRは導入する必要があります。
働き方が大きく変わる中で、セキュリティに対しては見直しの必要性に迫られています。EDRを導入する企業は増えているため、未導入の企業はこの機会に検討してみると良いかもしません。但し、EDRは有効打の1つではありますが、それだけで企業のセキュリティが完結するわけではありません。クラウドセキュリティ、ゲートウェイセキュリティなど多層防御の視点に立ち、サイバー攻撃を防御・被害の最小化を行う必要があります。なんだか、セキュリティ製品の宣伝みたいになってしまいましたね。多謝。