セキュリティに「EDR」は必要か？その概要と、従来のEPPとの違いを解説！

セキュリティツールの「EDR」の概要

EDRはエンドポイントセキュリティの一種です。

「Endpoint Detection and Response」の略になります。

 

EDRはウィルスの侵入を防止することよりも、被害を最小限に抑える為の対処と調査、感染拡大の防止と復旧を目的とした機能になります。

 

 

従来のエンドポイントセキュリティとの違い

従来のエンドポイントセキュリティ（以降はEPP）は、ウィルスがエンドポイント（PCやスマホ）に対して侵入するのを防止することを目的としています。

 

侵入防止が主目的のEPPに対して、EDRは概要で記述した通り、被害を最小限に抑える為の対処と調査、感染拡大の防止と復旧を主目的としています。

主目的の違いからわかる通り、EPPとEDRでは活動範囲（侵入前と侵入後）が違います。

また、EPPとEDRでは活動範囲が違うこと以外に、検知方法にも違いがあります。

 

EPPの代表的な検知方法が「ウィルス定義を使用したパターンマッチ」に対し、EDRの代表的な検知方法は「不審な挙動をするエンドポイントがないかをログで常時監視する」です。

 

EPPではウィルス定義を最新の状態にすることでウィルスの侵入を防止します。

ですが、既知のウィルスに該当しない未知のウィルスに対しては無力です。

EDRはウィルスの侵入を防ぐものではありませんが、不審な挙動をするエンドポイントがあれば検知する為、未知のウィルスに対しても有効です。

 

感染拡大の防止だけに絞ると、既知のウィルスかどうかに関係なく対応できることもあり、EDRが優秀といえます。

 

 

EDRの動作内容

実際にEDRがどのような動作をするか、段階的に説明すると以下の通りです。

 

①監視

エンドポイント上のすべてのアプリケーションの動作、画面に出ていないバッググラウンドで発生しているイベントでさえも、ログとして記録管理します。

常にログに記録されるため膨大な量になりますが、記録されたログは管理サーバーなどに収集され、サーバー上でまとめて分析処理が可能です。

 

②検知

収集されたログから不審な挙動やウィルスがないかを解析します。

不審な挙動を判断するにあたって、使用されるのが機械学習(※)や最新のウィルス情報になります。

 

機械学習＝人工知能を構成する要素の1つ。
大量のデータからパターンや規則性を見つけ出し、予測や意思決定の精度を向上させる技術です。
誤検知の可能性もありますが、管理者の判断も加わることで誤検知であることを学習し、
検知の精度を向上させます。

 

③通知

管理機能の一つであり、検知された脅威の詳細を管理者に通知します。

検知したエンドポイントがどのような動きをしたかの詳細が分かるようになっております。

 

④隔離

検知したエンドポイントをネットワークから隔離し、被害を最小限に抑えます。

隔離処理自体は自動化されている製品も多いですが、EDRのみでは判断できない場合や誤検知の場合は迅速な対応が求められます。

 

EDRを提供するメーカーによっては「MDR」というサービスを提供しているメーカーもあります。

「MDR」についての説明は後で記述いたします。

 

⑤調査

収集したログから原因や侵入経路、被害状況を調査します。

影響範囲もログから特定が可能です。

 

⑥駆除と復旧

調査結果をもとに被害のあったエンドポイントの復旧を行います。

マルウェアの駆除や悪意のあるファイルの削除などを行い、エンドポイントから脅威を取り除くだけでなく、被害のあったファイルやアプリケーション、データ等を復元します。

 

ただ、過去の経験から申し上げますが、被害にあったデータが完全に復元できるとは限りません。

EDRの復元で対処できなかった場合に備えて、バックアップ環境が必要かどうかも検討してください。

 

 

EDRの導入にあたって考えること

「未知のウィルスに対応できること」や「侵入後の被害を最小限に抑える」といったメリットを最大限に引き出すには管理が重要になります。

検知された内容がすべてウィルスであるということは無く、誤検知でないかどうかを判断する必要があるため、管理者には一定のウィルスに対する知識が要求されます。

 

また、常に対応できるように同じ知識量の人材を複数人配置する必要があります。

社内で管理体制を十分に用意できない場合は先述した、「MDR」というサービスを提供している製品を検討してみてください。

 

MDRは管理の大半をサービス提供元に委任します。

利用する大きな利点としては、24時間365日対応している点です。

休日や深夜帯、管理者が不在であっても脅威に対して速やかに一連の対応を行うことができます。

 

 

本当にEDRは必要なのかどうか？

弊社としてはEDRの導入を、未知のウィルスに対しても有効というメリットから前向きに検討していただきたいと考えております。

 

EPPでは既知のウィルスに該当しない新しいウィルスには対処できないため、被害に対して対応が遅れるといったことは必ず発生します。

そういった場合にどう対応できるのかを考えると、EDRが本当に必要なのかどうかが明確になるかと思います。

 

前提として、ウィルスが不意に侵入してくるということはありません。

誰かのアクションがウィルスの感染経路になってしまうことが大半です。

この「誰か」には社外の人も含まれます。

あくまで極論になりますが、ウィルスに対しての社内教育を徹底し、社外の人が持ち込む機器に対しても対処を徹底することで、EPPでは対処できないウィルスであっても感染を防止できる可能性はあります。

 

ただ、社内教育や社内規則での感染予防は個々の理解度に左右されるため、感染を予防することには限界があると思います。

最近流行した有名なウィルス「EMOTET」のように、ウィルスは操作者を誘導するようにできています。

 

「EMOTET」はメールから感染するウィルスでした。

メールの内容の中には、身に覚えがないような内容で判断ができるといった余地がありました。

ですが、もしも矛盾のない、自然な内容のメールであれば「EMOTET」の被害にあっても不思議ではありません。

感染後の被害を最小限に抑えることができるというメリットからもEDRを検討してみてはいかがでしょうか。

 

当社ではお客様の端末管理や環境設定および、端末の入替やセットアップなどのご支援やご提案を行っております。

社内の端末管理などでご相談がありましたら当サイトのお問い合わせをお使い下さい。

 

---

最後までお読みいただき、ありがとうございました。

 

お問合わせは下記「✉まずは相談してみる」ボタンよりお願いします。

担当者がお返事させていただきます。