LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品 | 

EDRとは|EDRの基礎知識と導入のポイント

EDR(Endpoint Detection and Response)とは「端末での脅威を検知してインシデント対応等を支援する手法」と独立行政法人情報処理推進機構(IPA)の資料のなかで説明されています※1。ラックでは自社サービス「EDR 監視・運用」の中で、EDRを、クライアントPCを狙った標的型攻撃などの高度な脅威を検知し、迅速な対応を可能とするソリューションと説明しています。

関連サービス

スマートフォンの普及により社員が保有する端末が増え、リモートワーク・テレワークの普及により、社員が端末を扱う環境が多様化しています。その結果、端末が脅威にさらされる機会が増えており、企業は端末のセキュリティを強化する必要性が高まっています。

この記事はEDRとは何か、仕組み、なぜ注目されているのか、主な機能、導入のポイントなどの基礎知識を一通り解説します。EDRの全体像をつかんで自社施策に応用するためにお役立てください。

EDRとは

ここではEDRとは何か、どのような目的で導入されるのかについて解説します。また、混同しがちなEPPやNGAV(次世代アンチウイルス)との違いも説明します。

エンドポイント端末のソリューション

EDR(Endpoint Detection and Response)とは、「端末での脅威を検知してインシデント対応等を支援する手法」とIPAの資料のなかで説明されています※1。また、そうした手法をサポートするソリューションのことをEDRと呼ぶこともあります。

端末(エンドポイント端末)とは、社内のパソコンやサーバ、リモートワークで利用するノートパソコンなどさまざまです。一般的には自社の情報資産にアクセスする、社内外のすべての端末がEDRの対象になります。

EDRでは、「PC等において動作するOSやアプリケーションの挙動を監視し、その挙動をもとにマルウェアに似た挙動(悪意のある攻撃を示す異常な挙動や活動の兆候)を検知」すると、総務省は説明しています※2。これは、マルウェア本体を見つけるのではなく、マルウェアでよく行われる挙動を中心に検知させるため、既知・未知どちらのマルウェアや脅威の検知にも有効です。

EPPとの違い

EPP(Endpoint Protection Platform)とは、一般的にウイルス対策ソフト、アンチウイルスソフトなどと呼ばれるソリューションです。EDRとEPPは目的と方式が違います。EPPはマルウェア本体を発見することを目的に、マルウェアの特徴をあらかじめ記した定義ファイルとの照合によって、マルウェアを識別して防御する「シグネチャ方式」が用いられます。

一方、EDRはエンドポイントに脅威が発生したことを検知し、対策を採るための機能が充実しています。

テレワーク環境の増加で新たに設置されたVPN機器の脆弱性を狙った攻撃や、手に入れたアカウント情報を使った侵入が増えているなか、今までは既知の脅威の検知・防御(EPP)を対策として行われてきましたが、ウイルス対策ソフトを回避する未知の脅威が増加している現在、これに対応するためには、不審な挙動を見つける監視カメラのような役割のEDRが必要になります。

ウイルス対策製品(EPP)とEDRの関係性。EDRは挙動をすべて記録、不審な挙動がないか監視。

NGAV(次世代アンチウイルス)との違い

NGAV(次世代アンチウイルス)とは、EPPのように既知のマルウェアの特徴をパターンファイルとして保持し、そのパターンとの一致状況をもって検知するのではなく、PCなどにおいて動作するアプリケーションすべてを監視し、そのうちマルウェアに似た挙動のアプリケーションを見つけ、警告を表示したりそのマルウェアの動作を止めたりする次世代のウイルス対策ソフトであると総務省は紹介しています※3

従来のEPPの機能に加えて、AIや機械学習などの先進技術を搭載することで、NGAVはマルウェアの挙動から脅威を検知して防御できます。

これは「ふるまい検知方式」と呼ばれる方式で、あらかじめ用意した定義ファイルと照合するシグネチャ方式では検知できない未知のマルウェアや、ファイルに痕跡を残さないファイルレスマルウェア(非マルウェア攻撃)を検知できるのが特徴です。

NGAVとEDRの違いは目的にあります。EDRの目的は脅威の検知であり、エンドポイントの挙動で脅威を検知するのに対して、NGAVはふるまい検知方式とシグネチャ方式で検知する、脅威の侵入防御です。

EDRの仕組み

EDRが情報セキュリティ上の脅威を検知する仕組みについては、一般的に以下のように説明されています。

  • エンドポイント端末の動作を常時ログに記録
  • ログデータをリアルタイムでEDRのサーバに送信
  • EDRのサーバ上で不審な動きを検知して管理者に通知
  • マルウェア駆除やエンドポイント端末隔離などを自動実行、または手動実行
EDRを導入しセキュリティが確保されたエンドポイント端末イメージ

この仕組み上、EDRでは脅威を検知した時点で、必要なログがサーバ上に集約されているのが特徴です。PC上で発生するさまざまな動作のログをすべて収集し、セキュリティベンダーが保有する脅威情報と照らし、脅威分析ロジックを用いて分析し、不審な挙動を管理者に通知します。

従来の方式のように端末のHDDを専用ツールで解析する必要はありません。アラートを受け取った管理者は、侵害の可能性のある端末をネットワークから切り離す処理を実施でき、その結果、迅速なセキュリティ対策が可能になり被害を最小限で抑えられます。

EDRの必要性

EDRを導入する企業が増えています。その背景には、サイバー攻撃が巧妙化していることと、リモートワークが普及したことが関係しています。ラックではEDRが必要な理由を導入運用で変わる3つのポイントとして紹介しています。

サイバー攻撃の巧妙化

総務省の資料※2の中で「標準的なセキュリティ対策ソフト(ウイルス対策ソフト)では検出されないものも多い状況にある」と説明しています。また、同資料で、「従来型の攻撃と異なり、攻撃者がマルウェアを広範囲に拡散させようとせず、攻撃対象に絞った狭い範囲に、新種のマルウェアを用いて攻撃を行う」ため、従来のソフトでは対応できないケースが増えてきました。

このためサイバー攻撃を防御するだけでなく、侵入されることを前提とした「被害の最小化」が重要になっています。EDRを導入すれば、たとえサイバー攻撃による被害が出たとしても、状況をすばやく把握してスピーディーな対策が取れます。

リモートワークの普及

リモートワークが普及してエンドポイント端末がさまざまな環境で使われるようになったことも、EDRが注目される理由です。総務省でも、テレワークセキュリティを強化する方法の1つとして、「EDR等の高度なソリューションを導入」することを推奨しています※2

EDRは利用端末ごとに監視用のエージェントを入れ、クラウド上にデータを集約・解析・検知するため、インターネットにさえ繋がっていればどんな環境でも統一的なセキュリティ対策ができ、管理者に即座に通知されるため、素早い対処が可能です。社内ネットワーク内で使われず、従来のネットワーク監視では監視できない在宅勤務のパソコンは、EDRで監視するのが効果的だと考えられます。

EDRの導入で変わること

EDR導入の最大のメリットは、インシデント対応の高速化です。サイバー攻撃を受けた際のシステム侵害の早期発見と、発見後の迅速な調査により、被害が拡大するリスクを最小限に抑えることができます。

システム侵害の早期発見

標的型攻撃では、アンチウイルスで検知されず、システムへの侵入に気付くのに100日以上かかると言われています。時間の経過とともに、被害範囲は大きくなるため、調査や復旧の労力、コストも増加します。EDRなら不審な挙動をリアルタイムに検知するため、侵害が拡大するリスクを最小限に抑えることができます。

発見後のスピーディな調査

従来のインシデント対応では、端末のHDDを専用機器やツールなどで保全し、保全したデータから必要なログを特殊なツールを使って抽出して解析する必要があり、期間も2週間前後かかります。さらにフォレンジック調査対象の端末も絞り込まなくては、調査期間や費用が膨大になってしまいます。

EDRであればフォレンジックと同等の調査がわずか2日間で実施でき、調査対象となる端末数も大幅に拡大することができます。

EDRの主要機能・できること

EDRの主な機能は検知・記録・調査の3つがあります。

機能 期待される効果
検知 ・従来型マルウェアの検知
・機械学習などによる、未知のマルウェアの検知
・マルウェアの不審な挙動の検知
記録 ・エンドポイント端末で発生したイベントの取得
 ◎イベントの例
  ・ユーザーのログオン・ログオフ
  ・コマンドプロンプトの実行とその内容
  ・ファイル作成・削除
  ・ファイルの読み書き
  ・プロセスの実行・停止
  ・ネットワークアクティビティ
  ・レジストリ操作
調査 ・高速な調査処理、レスポンス
・長期間をさかのぼってのイベント調査

3つの機能とできることを紹介します。

行動者の行動を可視化する

EDRはサイバー攻撃の行動を可視化する機能も備えています。例えば、不審な挙動を検出しプロセスツリーで表示したり、脅威が疑われるイベントを自動分類したり、プレイバックする機能などです。

こうした分析機能、レポート機能の目的は、管理者が短時間で原因を特定して、対策をとりやすくするためです。また、ステークホルダーにサイバー攻撃の内容や被害を説明する際にも役立ちます。

ログデータを保存する

EDRは各エンドポイントに導入されたエージェントまたはセンサーと呼ばれるソフトウェアによって、ファイル操作や通信などのログデータを保存します。このログデータはEDRの管理サーバに常時送られ、解析にかけられます。

解析の結果、データの持ち出し、マルウェアの横展開(ラテラルムーブメント)などの異常な挙動があれば、レポートやアラートとして即座に管理者に通知可能です。このように、EDRはリアルタイムでログデータを収集、解析して脅威を検知できるため、例えば足跡を消去するマルウェアが侵入した場合などにも対応できます。

攻撃検出時にブロック・削除する

EDRはサイバー攻撃を管理者に通知します。

EDRを導入していない場合は、マルウェアが検知された際に、管理者自らがエンドポイント端末からマルウェアのファイルを削除したり、LANケーブルを外したりするなどの作業に追われるケースがあるでしょう。一方、EDRを導入していれば、こうした対策に該当する処理を簡単に実施できる機能が備わっているため、サイバー攻撃の2次被害を最小限に抑えられます。

進化するEDRの機能

EDRのデメリットは、担当者の運用負荷が増えることです。また異常を検知できても、専門知識が乏しいために対策が取れないケースも少なくありません。

もちろん、EDRソリューションも日々進化しており、自動的に脅威を無効化する機能も備わっています。マルウェアのファイルを削除したり、エンドポイントの通信を遮断して隔離したりするといったものです。この自動防御機能は、迅速なセキュリティ対策と管理者の負担軽減に役立ちます。

EDRの進化版、「XDR(Extended Detection and Response)」では、エンドポイントのみならずクラウドやメールサーバなどのログも収集して、総合的な分析が可能です。

導入するEDRソリューション選定のポイント

ここでは、EDRソリューションの選定時にチェックしておきたい7つのポイントを解説します。

ラックはEDRの導入支援・運用実績が豊富にあります。導入に際して悩みがあればお気軽にご相談ください

EDRソリューション選定のポイント

検知性能の高さ

EDRはサイバー攻撃による異常を検知するためのソリューションですので、最も重視しなければならないのは検知性能です。セキュリティ対策ではマルウェア駆除や侵入防御などに目が向きがちですが、EDRはいかに早く異常を検知して調査や復旧につなげられるかという観点で選びましょう。

特に重要なのは、侵入防御をすりぬけやすい未知のマルウェアを使ったサイバー攻撃に対する検知性能です。組み込まれた検知ルールや、脅威インテリジェンス(サイバー攻撃の専門家の分析結果)の更新頻度などをチェックします。

調査支援機能の充実度

原因を調査、究明するための支援機能が充実しているかどうかも比較検討しましょう。膨大なログを人が分析するのは難しいため、脅威を検知したときの状況を視覚的にわかりやすくする機能が重要です。例えば、時系列のプロセスツリーで表示する機能などがあります。

調査支援機能の優劣は、対応の早さや管理者の負担軽減に直結します。現場に直接ヒアリングするなどして使いやすさを確認しましょう。

サーバの分析処理能力

エンドポイントから集められたログの集約・分析には、一定のコンピュータ処理能力が必要です。近年では、クラウド型の管理サーバを導入するケースが増えています。これは十分な性能を持った事業者のサーバを利用できるうえ、初期費用が安く、保守運用も任せられるためです。

ただし、外部に情報を出せない場合や、高いセキュリティレベルを実現したい場合などでは、自社にサーバを設置するオンプレミス型の管理サーバを導入する方法もあります。

端末保持者への展開の容易さ

後述しますが、運用管理が容易かどうかも大切な検討ポイントです。エンドポイント端末の利用者が簡単にエージェントをインストールできるか、プリインストールできるかなどを検討します。

また、在宅勤務やモバイルワークなどの普及にともない、EDRの対象端末も増えています。WindowsやMac、iOS、Android、Linuxなどのマルチデバイスに対応しているかどうかも確認しておきましょう。

第三者評価・実績

製品のカタログスペックを比較するだけでなく、検知性能や調査支援機能などについて第三者の評価を参考にするのもよい方法です。中立的な立場で性能や機能を検証したレポートは、選定の参考になるでしょう。

有事の際の説明責任を果たせること

事故に対する説明責任を果たすためには、原因や対象範囲など、詳細まで把握する必要があります。EDR運用にあたっては、アラートの真偽判断や、インシデントと判断した際の原因調査が必要となり、それにはフォレンジック調査の知見など、EDR製品の設定や操作以外の専門知識が必要となります。

動作痕跡がすべて記録される

EDR製品にはログの記録方式として常時記録タイプとイベント記録タイプがあります。イベント記録タイプのみのEDR製品だと、マルウェアを検知した場合などしか記録が残らず、あとから調査しようとしても、不正通信のログがなく感染経路などを調査することができません。「動作痕跡がすべて記録される、常時記録タイプの製品」であることが、重要な選定ポイントとなります。

EDRの運用は難しいか

EDRの運用は、アラートが発生した際の対応が難しいという課題があります。アラートが誤検知なのか、それとも重大なインシデントの発生なのかを見定めるには、攻撃に対する知見と経験値、そして技術力が必要になります。

しかし、そのような課題にもEDR運用の専門知識を持った事業者からEDR導入することで対応できます。既にEDRを導入済みであっても、EDR運用サービスのみを依頼することもできます。負荷の高い運用面をアウトソーシングするMEDR(Managed EDR)サービスを利用することもおすすめします。

さいごに

EDRはエンドポイント端末のログを収集することで迅速に異常を検知し、被害を最小化することをコンセプトにしたソリューションです。サイバー攻撃が巧妙化し、リモートワーク普及などによってPCの利用範囲が広がるなか、活用が進んでいます。

従来のEPPやNGAVでのセキュリティ対策に限界を感じているなら、検知性能や調査支援機能などを比較検討したうえで、自社にあったEDRソリューションを導入しましょう。

また、実際の運用には専門知識が必要です。EDR導入の際には同時に「EDR 監視・運用サービス」の検討をおすすめします。セキュリティ監視やサイバー救急センターによる事故対応など豊富な実績のある、ラックの「EDR 監視・運用サービス」であればEDR導入後の運用も安心してお任せいただけます。

導入や運用を検討する際は、弊社までお気軽にご相談ください。

より詳しく知るにはこちら

より詳しく知るにはこちら

参考情報

※1 IPA 令和2年度 中小企業サイバーセキュリティ対策支援体制構築事業 (サイバーセキュリティお助け隊事業)- 成果報告書(全体版) -

※2 総務省 テレワークセキュリティガイドライン 第5版(令和3年5月)

※3 総務省 テレワークセキュリティガイドライン第4版(平成30年4月)

「セキュリティ監視・運用」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 【セミナーレポート】今知っておくべき、EDRを用いた最新のセキュリティ監視技術とは?

  • インシデント発生後の対応に困らない、EDR導入のすすめ

  • 「情報セキュリティ10大脅威 2023」から学ぶ、多様化するサイバー攻撃に適したセキュリティ対策の見直しポイント