EDR（Endpoint Detection and Response）とは何か？その仕組みとメリット、EPPとの違いを解説

​2022年8月25日​2022年8月30日

EDRの概要

EDR（Endpoint Detection and Response）とは、組織内のネットワークに接続されたパソコンやサーバー、スマートフォンといったエンドポイントのログデータを収集し、脅威の検知、対処を行う仕組みやツールのことです。
アンチウイルスソフトやファイアウォールといった従来型のセキュリティ対策では防ぐことが難しくなった高度なサイバー攻撃に対し、入口で防ぐだけでなく、内部に侵入した場合を想定し、迅速に検知、対処を行うことによって被害を防ぐことを目的として、2013年にITアドバイザリ会社である米国ガートナー社のAnton Chuvakin氏によって提唱されました。
近年では、リモートワークの普及によりネットワークの社内、社外を区別せず、全ての通信を等しく疑って監視を行う「ゼロトラスト」のセキュリティモデルの指針に則り、エンドポイントとなる端末側でのセキュリティ対策として注目されています。

EDRの仕組み

EDRでは、エンドポイント上でマルウェアやランサムウェアによる不審な動きがないかを監視します。
そのため、エンドポイントとなるパソコンやサーバーといった各機器に「エージェントソフトウェア」と呼ばれるログを収集するソフトウェアを導入し、ログデータをサーバー上で分析し、不審な動きを行うデータがないかを監視します。
ログの蓄積機能の他にも、分析結果をネットワーク管理者に通知する機能、適切な対応を自動で行う機能なども備わっています。

EDRで得られる効果

サイバー攻撃の手口は年々高度化、巧妙化しており、マルウェアの侵入や感染を100％防ぐことは不可能だと言われています。
そのため、侵入された場合に備えて、迅速に脅威を除く対策が必要となります。EDRを導入することで、マルウェアが侵入した場合の検知、対処を迅速に行うことができるため、マルウェア感染による機密情報の漏洩やデータの改ざんといった被害を最小限に抑えることができます。
また、EDRの可視化機能を活用することで、マルウェア感染の根本原因や影響範囲の把握を行うことができるため、感染を未然に防ぐための対策についても効率的に行えるようになります。

EDRとEPPの違い

EDRに似た仕組みに「EPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）」があります。EPPは、従来のアンチウイルスソフトなどエンドポイントにインストールすることでエンドポイントの保護を行うセキュリティプラットフォームの総称です。EPPでは主にマルウェアの侵入を未然に防ぐ働きを行うことに対し、EDRではマルウェアに侵入された後、迅速に検知、対処を行う働きを持つ違いがあります。

EDRの選定ポイントと導入コスト

EDRを導入するにあたり、どのエージェントソフトウェアを利用するべきかを検討する必要があります。選定したEDRが求める機能を備えていないといったことを避けるためにも、機能や性能の評価の比較を行います。

エンドポイントセキュリティのカバー

EDR単体ではなく、エンドポイントセキュリティに関する様々な機能を提供する製品も増えています。
代表的な機能としては、「NGAV（次世代型アンチウイルス）」「脆弱性管理」「USBデバイス制御」「EDR未導入端末の可視化」といったものがあります。
なるべく多くの機能に対応している製品を選択し、エンドポイント端末のセキュリティを幅広くカバーできる製品を選定します。

管理サーバーの検討

EDRはログを監視するための管理サーバーが必要です。
サーバーにはクラウド型とオンプレミス型があり、一般的にクラウド型の方が導入や運用の費用を抑えることができます。一方、ログを社内管理したい場合は、自社のデータセンターに管理サーバーを構築するオンプレミス型を選定します。

ネットワーク負荷の確認

エンドポイント端末からリアルタイムでログの収集を行うため、自社のネットワークにどのくらい負荷が掛かるかを確認します。ネットワーク負荷によって遅延や不具合が発生してしまっては事業が成り立たないことにも繋がるため、導入前に事前確認を行います。

導入費用や期間の確認

EDRでは提供されるサービスによって費用が異なります。契約端末数によるボリュームディスカウントなどもあり、サービス内容と導入費用を比較しながら検討が必要です。導入や運用を社外に委託する場合はランニングコストも予算に組み込むことが必要です。導入期間についても、複数拠点に導入する場合や従業員数が多い場合は、運用開始までに多くの時間が掛かります。段階的に切り替えることも視野に入れ、実態に即したスケジュールを計画しましょう。

EDRのメリット

脅威の早期発見が行える

EDRを導入する上での最大のメリットは「リアルタイム監視」となります。侵入したマルウェアを早期に検出、分析できるため、被害が拡大する前に脅威を除くことができます。

リモートワークへの対応

リモートワークの増加に伴い、エンドポイント端末へのセキュリティリスクが高まっています。EDRではエンドポイント端末に対してエージェントソフトウェアを取り入れるため、マルウェアへの脅威から漏れなく対応することができます。

EDRのデメリット

費用面での負担が大きい

エンドポイント端末数に応じたコストが掛かるため、エンドポイントの数が多い程、費用面での負担が大きくなります。費用対効果について事前に十分な検討が必要です。

侵入を未然に防ぐものではない

EDRはエンドポイントの監視、保護を行うものですが、マルウェアなどの侵入自体を防ぐことはできません。
そのため、EPPやゲートウェイセキュリティなどの侵入を防止するサービスも併せて導入する必要があります。

参考

• EPP・EDRとは？エンドポイント対策の必要性や仕組みについて解説｜ICT Digital Column　【公式】NTTPCコミュニケーションズ
• EDRとは｜機能や効果、従来のウイルス対策ソフト（EPP）との違い | NTTコミュニケーションズ 法人のお客さま
• EDRとは何か？〜EDRの基礎知識 | BLOG | サイバーリーズン | EDR（次世代エンドポイントセキュリティ）