EDRについて解説!仕組みや機能、おすすめのサービスを紹介
セキュリティ対策としてEDRを導入したいと思ってはいても、EDRとは何かよくわかっていない方も多いと思います。
本記事ではそのような方に向けて、EDRとは何か、なぜ必要なのか、どのような機能があるか、注意点などを解説していきます。
また、おすすめのEDRサービスも紹介していますので参考にして下さい。
EDRとは?
EDRは、パソコンやスマートフォンなどの端末の不審な挙動を検知し、迅速な対応をするセキュリティ対策サービス。(Endpoint Detection and Responseの頭文字を取って略したもの)
ネットワークに接続されているエンドポイント(パソコンやスマホなどの端末)からログデータを収集・分析し、不審な挙動・サイバー攻撃を検知して管理者に通知します。
EDRを導入することで、万が一マルウェア等の侵入を許してしまった場合でもいち早く検知して除去できるようになります。
なぜEDRが注目されているのか
EDRが注目されている理由は、万が一マルウェアやウイルス等に感染してしまった場合に被害の拡大を防げるため。
感染を防ぐことは大事ですが、そのことだけに重点を置いてしまうと感染した後の発見が遅れてしまい、被害が拡大するおそれがあります。また、マルウェアやウイルスも日々新しいものが作られているため、新たな脅威すべてに対して感染を防ぐことは容易ではありません。
EDRを導入することで、感染後の早期発見が可能になり、被害を最小限で抑えることができます。
EDRとEPP、UTMや次世代アンチウイルス(NGAV)との違い
EDRとEPPの主な違いは以下のとおりです。
|
感染前 |
感染後 |
|
|
EDR |
- |
○ (早期発見し被害拡大を防ぐ) |
|
EPP |
○ (感染を防ぐ) |
△ (検出できた場合は対応する) |
|
UTM |
○ |
○ |
EDRは感染してしまった後に早期発見・対処をし、被害の拡大を防ぐことを目的としているセキュリティ対策。その一方で、EPPはデバイスを感染前に防ぐことを主な目的としたセキュリティ対策です。
エンドポイント保護プラットフォームとも呼ばれ、ネットワークに接続した端末(PC・スマホ等)を感染から保護するセキュリティ対策ツールで、いわゆる「アンチウイルスソフト」などが該当します。
また、NGAV(Next Generation Anti-Virus)はEPPの一種。アンチウイルスソフトの中でも、未知のマルウェアの検出機能に優れた次世代型のアンチウイルスソフトをNGAV(Next Generation Anti-Virus)と呼びます。
UTMは、それらのセキュリティ対策機能をすべて網羅したもので「統合脅威管理」とも呼ばれているツールです。すべてのセキュリティを一括管理しているため、個別にインストールする手間や運用コストを省けることが特徴です。
EDRの仕組み
EDRは、ネットワークに接続された端末を常に監視し、ログを記録してサーバーに集めます。集められたログはサーバー上で分析され、疑わしい挙動を検知したら管理者に通知する仕組みです。
通知を受け取った管理者は、ログの内容を分析することで見つかった脅威の侵入経路や感染範囲を特定することができます。その結果を基にして隔離や修復などをします。従来は担当者が手動で対応していましたが、現在では異常を検知した際に自動で隔離・修復する機能があるEDR製品も多くなっているため、自動での対応も可能です。
EDRの機能
EDRの主な機能は、監視、ログの収集、検知、隔離、修復です。
具体的には以下のとおり。
|
監視 |
ネットワークに接続されている端末の操作ややりとりを常に監視 |
|
ログの収集 |
監視している端末の挙動をログ(記録)に残しサーバーに集める |
|
検知 |
集められたログを分析し、不審な挙動を検知する 普段のログとの差異をチェックし、脅威の影響がどのくらいか推定する |
|
隔離 |
怪しい挙動をしているところを特定し、 ネットワークから端末を制限・切断して脅威を隔離する |
|
修復 |
脅威が検知された端末上にある怪しいファイルやレジストリを修復する |
これらの機能を駆使して各端末から集められたログを分析して脅威を検知し、対処します。ログを分析しやすいように様々な視点からログデータを確認する機能を備えているEDRを利用すると、運用者の負担を抑えられます。
EDR製品の比較選定ポイント
EDR製品を選ぶ際にチェックしておきたいポイントは以下の7つです。
- 検知能力
- 分析の精度
- 調査作業を支援する機能
- 導入・展開が容易か
- 第三者機関による製品の評価
- システム環境、管理サーバー
- 他のセキュリティ対策との相性
上記のポイントを抑えておくと、EDR製品選びで失敗しにくくなります。
以下で各項目の詳細を解説していきます。
検知能力
マルウェアなどを検知する能力が1つ目の比較ポイント。
脅威を検出できなければ、分析や隔離、修復をすることもできません。未知のマルウェアを検出する機能の性能や、最新の脅威にどのように対応しているかなどを公式サイトの製品紹介ページで確認しておくとよいでしょう。
分析の精度
検知した脅威を分析する精度が2つ目の比較ポイント。
EDRは、エンドポイントから取得したログをサーバー上で分析する仕組みのため、高精度でリアルタイムに分析できるかが大切です。複数のエンドポイントを関連付けて分析する機能など、高度な分析機能を備えたEDR製品を選ぶとよいでしょう。
調査作業を支援する機能
調査作業を支援する機能が十分かどうかもポイント。
EDRで脅威が検知された場合は、管理者によって原因や感染経路、影響がある範囲などを調査する必要があります。効率よく調査できる機能や自動化できる機能が備わっているものを選ぶことがポイントです。
例えば、感染した端末を遠隔操作する機能があると調査作業を効率化できます。また、調査に必要なログの保存・収集などを自動で行ってくれる機能もあるとよいでしょう。
導入・展開が容易か
導入や展開がかんたんにできるものを選ぶこともポイント。
運用時に専門知識や複雑な操作が必要な製品を選んでしまうと、セキュリティを担当する人員への負担が大きくなってしまうというリスクがあります。また、特定のセキュリティ担当者にしか運用できない状態を作ってしまうと、万が一担当者が不在の際に対処が遅れてしまうおそれもあります。
そのほか、端末側で煩雑な操作が必要なものを選んでしまうと端末利用者の業務効率が落ちてしまうため、端末での操作があまり要らない製品がおすすめです。
導入や運用ができるだけかんたんなものを選ぶと失敗しにくくなります。多くのEDR製品は、無料トライアルが可能。その期間中に実際に従業員に利用してもらい、使いやすかったかどうかを確認してから導入するとよいでしょう。
第三者機関による製品の評価
EDR製品を比較する際には、第三者機関による製品の評価をチェックすることもポイント。
各社の製品紹介を見て比較したとしても性能の評価方法が異なっていることがあるため、知識がないと正しく比較できません。第三者機関による製品評価の場合は、それぞれの機関がチェック項目を用意して比較しているため同じ基準で比較できます。また、中立的な第三者機関の評価を見ることで、主観を排除した客観的な比較ができるというメリットもあります。
EDR製品を比較する際は、第三者機関による各製品のシェア率や機能に対する性能評価などを確認するようにしましょう。
システム環境、管理サーバー
EDR製品によって対応しているOSが異なるため、対応しているシステム環境を確認することが大切なポイント。
また、EDRを利用するとログの収集や分析をする際にある程度の負荷がかかってしまいます。その際に現在利用しているシステムに影響が出るほどの負荷がかからないかどうかを事前に調べておく必要があります。
管理用のサーバーには、自社にサーバーを置くタイプや外部にあるサーバーを利用するクラウドタイプがあるので、自社の都合に合わせて選ぶとよいでしょう。
導入費用や運用の手間を軽減したい場合は、クラウドタイプがおすすめです。全てのデータを自社で管理したい場合は、導入や運用にコストがかかりますが自社サーバーを導入しましょう。
他のセキュリティ対策との相性
EDR製品を選ぶ際は、他のセキュリティ対策との相性を確認することもポイントです。
EDRはマルウェアなどに感染してしまった後に効果を発揮するセキュリティのため、感染を防ぐEPP(アンチウイルスソフト)などと組み合わせる必要があります。したがって、あわせて利用する他のセキュリティ対策との相性を考慮しなければいけません。
同じ会社でEDRとEPPを両方提供している場合は、製品同士の相性がチェックされていることが多いのでおすすめです。セキュリティ同士の相性に関する不安を完全に無くしたい場合は、EDRとEPPがセットになっているものを選ぶと良いでしょう。
EDR製品5選
この記事で紹介する5つのEDR製品の特徴は以下の通り。
|
特徴 |
価格感 |
|
|
Microsoft Defender for Endpoint (MDE) |
|
1名辺りの月額 プラン1:330円 プラン2:570円 |
|
LANSCOPE エンドポイント マネージャー オンプレミス版 |
|
要問合せ 無料体験版有り |
|
Symantec Endpoint Security 〈SES〉 |
|
要問合せ 無料トライアル有り |
|
Cybereason EDR |
|
要問合せ |
|
KeepEye |
|
要問合せ |
以下、各サービスについて詳細を解説していきます。
Microsoft Defender for Endpoint(MDE)
画像引用:Microsoft Defender for Endpoint
Microsoft Defender for Endpoint(MDE)のおすすめポイント
- 米国政府機関でも使用されているほど信頼性が高い
- マイクロソフトの様々な製品と連携しているため統合的なセキュリティの監視や管理が可能
- OSに標準搭載されているため、個々のPCにエージェントを導入する必要がない
Microsoft Defender for Endpointは、Microsoft社が提供しているEDR。アメリカの政府機関に提供しているため、信頼性も十分なEDRといえます。
同社のMicrosoft Defenderと連携してセキュリティを強化したり、Skype for Businessと連携して保護をしたりできることが特徴です。Windowsの機能やMicrosoft製品との相性に悩まなくて済むことは大きなメリットでしょう。
また、端末側のクライアントはWindows10以降のOSに標準搭載されているので、それぞれのパソコンにインストールする手間がありません。分析などを行うためのサーバーもクラウドサーバーを利用しているので、自社サーバーを導入せずに利用できます。
LANSCOPEエンドポイントマネージャー オンプレミス版
LANSCOPEエンドポイントマネージャー オンプレミス版のおすすめポイント
- 20,000社以上の豊富な導入実績があるので安心
- 保守更新率93%以上で、半数以上の利用者が長期継続利用している
- レポートがシンプルでわかりやすく運用しやすい
LANSCOPEエンドポイントマネージャーは、20,000社以上に導入されている実績があります。また、継続利用率も93%と高い数値を出していることから、性能面やサポート面で問題ないEDR製品といえるでしょう。
シンプルでわかりやすく使いやすいレポート機能があり、直感的に誰でも操作できるように作られていることが特徴。
WindowsだけでなくMacにも対応しているほか、英語での表示にも対応しているので多様な環境下で利用できます。
オンプレミス版(自社サーバーで運用するもの)の他に、クラウドサーバーを利用するクラウド版も提供しています。
Symantec Endpoint Security〈SES〉
画像引用:Symantec Endpoint Security〈SES〉
Symantec Endpoint Security〈SES〉のおすすめポイント
- ウイルス対策やEDR機能、NGAVなどセキュリティ上に必要な機能を包括
- AI技術と専門家による分析を組み合わせ、潜在的な脅威を洗い出す機能あり
- 機械学習と高度な画像解析を利用し、13万件以上の未知のフィッシング攻撃をブロックした実績がある
Symantec Endpoint Security〈SES〉は、EDRとしての機能だけでなくウイルス・マルウェア対策機能も包括したセキュリティツール。同社が提供するEPPのSymantec Endpoint Protection(SEP)にさらなる防御機能を加えたものがSESです。
機械学習で分析して脅威を検知する機能を備えており、13万件を超える未知のフィッシング攻撃を検知してブロックした実績があります。その実績から未知の脅威への対策としても十分な性能があるといえるでしょう。
社内にサーバーを置くオンプレミス型、クラウド上で処理するクラウド型、両方併用するハイブリッド型と幅広く対応していることも特徴です。
Cybereason EDR
画像引用:Cybereason EDR
Cybereason EDRのおすすめポイント
- 数万台の端末をリアルタイムに監視してサイバー攻撃への迅速な対応が可能
- ネットワーク内を監視し、クラウド上のAIエンジンを用いて分析する
- 独自のロジックによってデータを分析し、高度な分析と検知を実現
Cybereason EDRは、数万台の端末があってもリアルタイムに監視し、脅威に対して早期対応ができるEDRです。Windows、Mac OS、Linuxとサーバーを全て監視できるため、複数のOSを利用している環境でおすすめです。
AIを活用したリアルタイム検知機能を搭載しており、従来のセキュリティでは防げなかったサイバー攻撃にも対処できる仕組みになっています。
端末の膨大なログデータを独自の分析手法で分析しており、高度な分析と検知を実現しています。イスラエル軍の諜報部隊でサイバーセキュリティに関わったメンバーによって開発されており、サイバー攻撃の最前線で得た経験が生かされたEDRです。
KeepEye
画像引用:KeepEye
KeepEyeのおすすめポイント
- 運用のほぼすべてを任せられるので、運用にかかる負担を軽減できる
- 専門のアナリストが24時間365日体制で監視している
- 不審な動きや操作が起こった際に、専門スタッフが原因や影響範囲の調査をサポートしてくれるオプションもあり
KeepEyeは、運用のほとんどを任せることができるため、自社に専門知識のあるスタッフが居ない場合におすすめです。自社の運用スタッフにかかる負担を最小限に抑えたまま、高度なセキュリティを実現できます。
専門知識のあるアナリストが24時間365日体制で監視しているため、監視サービスや運用のサポートも手厚いといえるでしょう。また、不審な動作を検知した際に、専門スタッフが調査のサポートをするオプションも提供しています。
自社スタッフにかかる負担を最小限に抑えてEDRを運用したい方におすすめです。
EDR導入・運用の注意点
EDRの導入や運用をするときに注意するべきことは以下の5つです。
- 既存の環境に合っているか
- ログのデータを集約、分析できる体制があるか
- 他のセキュリティソフトなどと連携が前提
- 運用負担やコストを抑えて導入するには
- 運用には専門知識が必要
上記の5点をおさえておくだけでEDR導入時の失敗を減らせるので、必ず確認しましょう。
以下で各項目の詳細を解説していきます。
既存の環境に合っているか
EDR製品が自社で使っているOSに対応しているかを確認しましょう。OSが非対応の場合、効果が正しく出ないだけでなく、導入することもできない場合があります。
また、現在導入しているセキュリティ対策ツールとの相性も確認が必要。相性が悪い場合にはEDRの効果が落ちてしまったり、正常に動作しなかったりするおそれがあります。
既にEPPを導入している場合は、同じメーカーのEDRを選ぶようにすると相性問題を気にせずに済むためおすすめです。
ログのデータを集約、分析できる体制があるか
EDRは、参照できるログが多ければ多いほど素早く高精度に異常を検知できる仕組みです。社内の端末から確実にログを収集し、一括管理して効率の良い分析ができるように社内ネットワークを整えておきましょう。
他のセキュリティソフトなどと連携が前提
EDRは感染後に早期発見して被害の拡大を抑えるためのセキュリティツールです。したがって、EDRとは別に感染を防ぐためのセキュリティツールを併用し、連携する必要があります。
前述したセキュリティツール同士の相性問題が不安な方は、同じメーカーの製品をセットで選ぶと予め連携を前提に作られていることも多いのでおすすめです。
運用負担やコストを抑えて導入するには
大手のセキュリティベンダーが提供しているEDR製品を導入すると、比較的かんたんにセキュリティ対策をすることができます。特に、日本で実績のある製品を選ぶと日本語での手厚いサポートを受けやすいためおすすめ。
自社にサーバーを導入したり運用したりする手間を省きたい方は、サーバーがクラウドタイプのEDR製品を選ぶとよいでしょう。
運用には専門知識が必要
EDRの運用には、専門的な知識が必要になる場面も多々あります。
例えば、怪しい挙動を検知して通知が来てから脅威の影響や経路を特定し、対処するためには相応の経験と知識が必要です。担当する人材に不安がある場合は、できるだけサポートの手厚いEDR製品を選びましょう。どうしても人材が用意できない場合は、アウトソーシングという手段を検討してみてもよいかもしれません。
EDRの仕組みやおすすめサービスを紹介しました
本記事では、EDRの仕組みやおすすめのサービスを解説してきました。
EDRはウイルスやマルウェアに感染した後に不審な挙動を検知して対処するもののため、EPPやNGAVなどと併用する必要があることを理解していただけたと思います。
EDRを導入する際は、自社の現環境に合ったものを選ぶことが大切です。その際は、本記事内で紹介したEDR導入・運用の注意点を参考にしてください。
