EDRとは、PCやサーバといったエンドポイント(端末)におけるインシデント発生後の対応を、明確化・迅速化する機能を持つセキュリティ対策製品のことです。
従来、企業のセキュリティ対策ではファイアウォールやプロキシといったゲートウェイ型のセキュリティ対策による、社内ネットワークの出入口対策に重点が置かれていました。しかし、テレワークの急速な普及によりエンドポイントが社外に拡散し、従来の対策では十分ではなくなりつつあります。
また、メールを介した標的型攻撃やランサムウェアによる被害が拡大傾向にあることも、EDRへの注目が集まる背景の一つです。これらの被害を食い止めるためにも、エンドポイントの対策強化が求められています。
EDRソリューションを導入すると、「エンドポイントの特定」「発生事象の解明」「遠隔操作による対処」の3つの効果が期待できます。ソリューション選びにおいては、「検知能力」「記録能力」「調査能力」のEDRの重要な3要素を比較検討するとよいでしょう。
EDRに求められる能力
検知能力 |
・従来型のマルウェアを検知できること ・機械学習技術など、未知のマルウェアを検知できること ・マルウェアが行いうる不審な挙動を検知できること |
記録能力 |
・エンドポイント上のイベントを漏らさず、長期間取得できること - ファイル作成・削除、読み書き等のディスクオペレーション - プロセスの実行、停止 - サービスの登録・実行、停止 - ネットワークアクティビティ - レジストリ操作 - ユーザログオン、ログオフ - コマンドプロンプト、PowerShellの実行内容 |
調査能力 |
・調査方法が容易であること ・調査処理、レスポンスが高速であること ・調査対象のイベント保持期間が十分に遡れること |
異常な挙動や不審な活動の兆候をモニタリングし、サイバー攻撃やセキュリティインシデントを早期に検知して迅速な対応を行うサービスのことをMDR(Managed Detection and Response)と呼びます。