blog

セキュリティに「EDR」は必要か?その概要と、従来のEPPとの違いを解説!

セキュリティに「EDR」は必要か?その概要と、従来のEPPとの違いを解説! | その他

 

セキュリティツール「EDR」の概要


EDRはエンドポイントセキュリティの一種で、

Endpoint Detection and Responseの略です。

 

EDRはウィルスの侵入を防止することよりも、

被害を最小限に抑える為の対処と調査、感染拡大の防止と復旧を目的とした機能になります。

 

 

従来のエンドポイントセキュリティとの違い


従来のエンドポイントセキュリティ(以降はEPPとします)は

ウィルスがエンドポイント(PCやスマホ)に対して侵入するのを防止することを目的としています。

 

侵入防止が主目的のEPPに対して、EDRは概要で記述した通り、

被害を最小限に抑える為の対処と調査、感染拡大の防止と復旧を主目的としています。

主目的の違いからわかる通り、EPPとEDRでは活動範囲(侵入前と侵入後)が違います

また、EPPとEDRでは活動範囲が違うこと以外に検知方法にも違いがあります。

 

EPPの代表的な検知方法が「ウィルス定義を使用したパターンマッチ」に対し、EDRの代表的な

検知方法は「不審な挙動をするエンドポイントがないかをログで常時監視する」です。

 

EPPではウィルス定義を最新の状態にすることでウィルスの侵入を防止しますが、

既知のウィルスに該当しない未知のウィルスに対しては無力です。

EDRはウィルスの侵入を防ぐものではありませんが、

不審な挙動をするエンドポイントがあれば検知する為、未知のウィルスに対しても有効です。

 

感染拡大の防止だけに絞ると、既知のウィルスかどうかに関係なく対応できることもあり、

EDRが優秀といえます。

 

 

EDRの動作内容


実際にEDRがどのような動作をするか、段階的に説明すると以下の通りです。

 

① 監視

エンドポイント上のすべてのアプリケーションの動作、画面に出ていない
バッググラウンドで発生しているイベントでさえもログとして記録し、管理します。
常にログに記録されるために膨大な量になりますが、記録されたログは管理サーバーなどに
収集され、サーバー上でまとめて分析処理が可能です。

 

② 検知

収集されたログから不審な挙動やウィルスがないかを解析します。
不審な挙動を判断するにあたって使用されるのが機械学習(※)や最新のウィルス情報になります。

機械学習=人工知能を構成する要素の1つ。
大量のデータからパターンや規則性を見つけ出し、予測や意思決定の精度を向上させる技術です。
誤検知の可能性もありますが、管理者の判断も加わることで誤検知であることを学習し、
検知の精度を向上させます。

 

③ 通知

管理機能の一つであり、検知された脅威の詳細を管理者に通知します。
検知したエンドポイントがどのような動きをしたかの詳細が分かるようになっております。

 

④ 隔離

検知したエンドポイントをネットワークから隔離し、被害を最小限に抑えます
隔離処理自体は自動化されている製品も多いですが、
EDRのみでは判断できない場合や誤検知の場合は迅速な対応が求められます。

EDRを提供するメーカーによってはMDRというサービスを提供しているメーカーもあります。
「MDR」についての説明は後で記述いたします。

 

⑤ 調査

収集したログから原因や侵入経路、被害状況を調査します。
影響範囲もログから特定が可能です。

 

⑥ 駆除と復旧

調査結果をもとに被害のあったエンドポイントの復旧を行います。
マルウェアの駆除や悪意のあるファイルの削除などを行い、エンドポイントから脅威を
取り除くだけでなく、被害のあったファイルやアプリケーション、データ等を復元します。

ただ、過去の経験から申し上げますが、被害にあったデータが完全に復元できるとは限りません。                                                     
EDRの復元で対処できなかった場合に備えて、バックアップ環境が必要かどうかも
検討してください。

 

 

EDRの導入にあたって考えること


「未知のウィルスに対応できること」「侵入後の被害を最小限に抑える」といったメリットを

最大限に引き出すには管理が重要になります。

検知された内容がすべてウィルスであるということは無く、誤検知でないかどうかを判断する

必要があるため、管理者には一定のウィルスに対する知識が要求されます。

 

また、常に対応できるように同じ知識量の人材を複数人配置する必要があります。

社内で管理体制を十分に用意できない場合は先述した「MDR」というサービスを提供している

製品を検討してみてください。

 

MDRは管理の大半をサービス提供元に委任します。

MDRを利用する大きな利点としては、24時間365日対応している点です。

休日や深夜帯、管理者が不在であっても脅威に対して速やかに一連の対応を行うことができます

 

 

本当にEDRは必要なのかどうか 


弊社としてはEDRの導入を、未知のウィルスに対しても有効というメリットから前向きに

検討していただきたいと考えております。

 

EPPでは既知のウィルスに該当しない新しいウィルスには対処できないため、被害に対して

対応が遅れるといったことは必ず発生します。

そういった場合にどう対応できるのかを考えると、EDRが本当に必要なのかどうかが

明確になるかと思います。

 

前提として、ウィルスが不意に侵入してくるということはありません。

誰かのアクションがウィルスの感染経路になってしまうことが大半です。

この「誰か」には社外の人も含まれます。

あくまで極論になりますが、ウィルスに対しての社内教育を徹底し、社外の人が持ち込む機器に

対しても対処を徹底することで、EPPでは対処できないウィルスであっても感染を防止できる

可能性はあります。

 

ただ、社内教育や社内規則での感染予防は個々の理解度に左右されるため、

感染を予防することには限界があると思います。

最近流行した有名なウィルス「EMOTET」のように、ウィルスは操作者を誘導するように

できています

 

「EMOTET」はメールから感染するウィルスでした。

メールの内容の中には身に覚えがないような内容で判断ができるといった余地がありましたが、

もしも矛盾のない、自然な内容のメールであれば「EMOTET」の被害にあっても

不思議ではありません。

感染後の被害を最小限に抑えることができるというメリットからもEDRを検討してみては

いかがでしょうか。

 

当社ではお客様の端末管理や環境設定および

端末の入替やセットアップなどのご支援やご提案を行っております。

社内の端末管理などでご相談がありましたら当サイトのお問い合わせをお使い下さい。

 


最後までお読みいただき、ありがとうございました。

 

お問合わせは下記「✉まずは相談してみる」ボタンよりお願いします。

担当者がお返事させていただきます。

 

関連記事

工事現場での「作業報告書タブレットシステム」をMicrosoft Accessで実現!? | その他

工事現場での「作業報告書タブレットシステ…

名古屋にある設備工事の企業様より、 基幹システムの再構築のご依頼を頂いたなかに 工事の現場の働き方改革、ペーパーレス化ということで タブレットを利活用した提案をしてほしいというご依頼を頂きました。 現状と具体的な解決策 …
F2ショートカットキーでエクセルを編集モードにできる!ダブルクリックは不要 | その他

F2ショートカットキーでエクセルを編集モ…

先日お客様とシステムの画面デザインの打合せを行っている際に、 「この明細行のセルの値を編集する場合には 【F2】キーを押していただければ編集モードになります。 エクセルのセルの値を修正する時と同じ操作ですね」 と説明しても意味が…
CONTACT

CONTACTお問い合わせ

メールフォームからもご相談を受け付けております。
お気軽にお問い合わせください。