EDRとは

EDRは「Endpoint Detection and Response」の略称です。ここで「Endpoint（エンドポイント）」とは、パソコンやサーバー、モバイル端末といった“ネットワークの末端に接続される機器”を指します。「Detection（検知）」は、不審な動きやウイルスなどの脅威を即座に見つけ出すこと、そして「Response（対応）」は、見つかった脅威に対してすぐに防御措置を講じたり、被害を最小限に抑えたりすることを意味しています。

従来のウイルス対策ソフト（アンチウイルス）は、主に既知のウイルスパターンを検知してブロックするのが目的でした。しかし、近年のサイバー攻撃は高度化・巧妙化し、未知の脅威やゼロデイ攻撃などをはじめ、複数の手口を組み合わせて行われるケースが増えました。そこで、検知（Detection）だけでなく、攻撃が起きたときに端末を隔離したり、犯人の侵入経路を追跡したりして被害の広がりを抑える対応 (Response)機能が重視されるようになりました。

こうした流れの中で、エンドポイントそのものを詳しく監視し、何かあれば迅速に対応するしくみを総合的に提供する製品が求められ、EDR (Endpoint Detection and Response）という名前が定着しました。端末側の振る舞いをきめ細かく把握し、検知から対策までを一気通貫で行うことが、EDRという名称の由来です

EDRは、自社のネットワーク内に危険な動きがあれば、いち早くとらえたり、その記録を残したりすることに優れています。もし不審なファイルが動き始めたらすぐに知らせてくれ、攻撃があった経路を調べられるので、セキュリティ担当者にとってはとても心強い存在です。

EDRが提供する主な機能

• リアルタイム監視による脅威の早期検知
  リアルタイム監視は、不正なファイルや動作を即座に見つけるための仕組みです。たとえば、不正なファイルが動作を開始した場合や、急にパソコンの動作が遅くなる(重くなる)ような怪しい変化があれば、すぐに検知して警告を出します。こうした素早い気づきによって、サイバー攻撃が進行する前に対策を打てるのが大きなポイントです。
• 自動化されたインシデント対応フロー
  不審な動きが検知された場合、ある程度はEDR側が自動で対策を行ってくれることがあります。例えば、不正なファイルを隔離したり、その端末をネットワークから切り離したりなどの対策です。これにより、担当者が不在の時でも被害が広がりにくくなるため、人手不足の組織でも導入しやすいメリットがあります。
• 詳細なログとフォレンジック機能
  万が一、攻撃を受けてしまったときは「どこから」「どんな手口で」侵入されたのかを知ることが大切です。EDRには、端末で起きた出来事(ログ)を細かく記録する機能が備わっています。たとえば、どのファイルにアクセスしたのかや、どのサイトにつながっていたのかなどを後から分析できるので、再発防止策を立てやすくなります。

導入時に検討すべきポイント

• 導入コストの試算とROI (費用対効果)
  EDRを導入する際にまず考えたいのが、どれくらいの費用がかかり、どの程度の効果が得られるかという視点です。たとえば、ソフトの利用料金や専用の管理ツールの費用はもちろん、管理担当者が対応に費やす時間やトレーニングのコストも含めて計算します。中小企業の場合には、導入した結果どのくらい被害を防げたかや、復旧にかかる時間がどれほど削減できたかなどを指標にすると、費用対効果を具体的に測ることができます。
• 運用体制と担当者のスキルセット
  EDRの機能を十分に活用するためには、専任のセキュリティ担当者を配置するか、または、EDRの監視・運用を専門とする業者に業務委託することで、より効率的なセキュリティ対策が実現できます。