EDRとは?

EDR(Endpoint Detection and Response)とは、組織内のネットワークに接続されているエンドポイントからログデータを収集し、解析サーバーで相関解析、不審な挙動・サイバー攻撃を検知し、管理者に通知します。通知を受けた管理者はEDR管理画面でサイバー攻撃を確認し、遠隔で対処するエンドポイント・セキュリティ・ソリューションです。

EDRのが開発された背景として、高度化するサイバー攻撃をアンチウイルスやファイアウォールなどの従来型のセキュリティソリューションでは防ぎきることが難しくなったという状況があり、サイバー攻撃を入口で防御するだけでなく、攻撃者が組織内部に侵入した場合を想定し、迅速に検知、対応することによって被害を防ぐことを目的として、EDRが急速に広まっています。

主にホスト/エンドポイントでの不審な挙動(およびその痕跡)の検出と調査に焦点を当てたツールとして、ガートナーのシニアアナリストAnton Chuvakin氏によって2013年にこの用語「EDR」が定義されました。

「EDRとは?」〜サイバーセキュリティ入門者向けトレーニング動画〜

サイバーリーズンでは、サイバーセキュリティ入門者向けトレーニング動画を公開しています。
「EDRとは?」では、高度化したサイバー攻撃がアンチウイルスやファイアウォールなどの従来型のセキュリティソリューションでは防ぐことが難しくなった昨今の状況において、組織内のエンドポイントから収集したログデータを相関解析し、不審な挙動・サイバー攻撃を迅速に検知、対応することによって被害を防ぐ「EDR(Endpoint Detection and Response)」を約3分で分かりやすく解説しています。

EDRの仕組み

EDRは、エンドポイント上でマルウェアランサムウェアによる不審な動きがないかどうか、常時監視を行います。そのために、監視対象のエンドポイントに専用のエージェントソフトウェアを導入し、ログを常時取得しています。このログデータはサーバ上に集められ、まとめて分析処理が行われます。ここでもし疑わしい挙動の痕跡が見付かったら、その旨をすぐに管理者に通知します。

この通知を受け取った管理者は、EDRの管理画面でログの内容をさらに精査することで問題の根本原因や影響範囲を調べ、適切な対応を取ります。EDRは、こうした事後対応を迅速かつ効率的に行えるように、ログの内容をさまざまな角度から分かりやすく可視化する機能も提供します。

EDRで得られる効果

近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、マルウェアの侵入や感染を100%防ぐのはもはや不可能だといわれています。従って、マルウェアの侵入を防ぐための対策だけでなく、万が一侵入を許してしまった場合に備えて、その存在をいち早く検知して脅威を除去する対策が不可欠です。

EDRは、まさにこうしたニーズに合致する製品だといえます。企業は前項で挙げたEDRの機能を活用することで、社内ネットワークに侵入したマルウェアやランサムウェアが本格的な活動を始めて問題が深刻化する前に、その存在をいち早く検知・除去できるようになります。またその際、EDRの可視化機能を活用することで、感染の根本原因や影響範囲を容易に把握できるため、事後対応を効率的に、かつ迅速に行えるようになります。

組織にEDRソリューションが必要な理由

標的型攻撃やランサムウェアなどによる高度な脅威から組織を保護する点において、エンドポイントのデータを活用することに利点があることは明らかです。エンドポイントはハッカーが活動する場所で、ハッキング活動の展開を一部始終、直接観察することができます。そのためにEDRプラットフォームが必要になります。

EDRプラットフォームは、エンドポイントおよびサーバーへの包括的な可視性を提供し、悪意のある活動を示す異常な挙動を監視および検出します。

EDRプラットフォームを使ってエンドポイントでの活動を継続的に監視および分析することで、他のセキュリティ保護ツールをすり抜けたサイバー攻撃に対する検知と対応が可能になります。

EDRソリューションに欠かせない重要な要素

高度なエンドポイントセキュリティプログラムであるEDRに欠かせない7つの重要な要素を以下に示します。
エンドポイントセキュリティソリューションまたはEDRの購入を検討する場合は、以下を参考に検討してみてください。

  1. サイバー攻撃、高度標的型攻撃(APT攻撃)の兆候を検知する
  2. 組織全体のログデータを相互に関連付ける
  3. ホワイトリストとブラックリストを動作分析と組み合わせる
  4. エンドポイントの活動を干渉せずに監視できる
  5. インシデントレスポンス(IR)とフォレンジック調査に役立つ
  6. インシデントへの効果的な対処と修復(インシデントレスポンス)が可能
  7. アンチウイルスと連携する

EDRとEPPの違い

ネットワーク内に侵入したマルウェアが実際に活動を行うサーバやPCなどの「エンドポイント」上で防御することが重要と言われています。「エンドポイントセキュリティ」や「エンドポイント対策」と呼ばれる対策ですが、大きく分けると「EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)」と「EDR(Endpoint Detection and Response)」の2種類に分けることができます。それぞれの特徴を簡単に言い表せば、EPPは「エンドポイントをマルウェア感染から防御する」ためのもの、一方のEDRは「エンドポイントが感染してしまったことを検知し、その後の対応を行うもの」と理解すればいいかと思います。

EDR製品の比較選定ポイント

現在、市場にはさまざまなEDR製品が存在しますが、そのすべてがEDRに求められる機能を完全に備えているわけではありません。そこでEDR製品の導入を検討する際には、大きく分けて以下の5つの観点から機能や性能の評価の比較を行うといいでしょう。

EDR比較選定ポイント(1):検知能力は十分か?

未知のマルウェアや、ファイルレス攻撃など最新の脅威をきちんと検知できるどうか、事前に確認しておく必要があるでしょう。また、複数のエンドポイント間でアクティビティを相互に関連付けることで、高精度な脅威検出が可能かどうかも重要な評価ポイントです。

EDR比較選定ポイント(2):調査作業を支援する機能は十分か?

もし脅威が検知された際には、その原因や感染経路、影響範囲などを調査する必要があります。優れたEDR製品には、この作業を自動化・効率化できる機能が備わっています。例えば、遠隔地にある感染端末のプロセスを強制的にシャットダウンできたり、疑わしいファイルの隔離やログの保存などを遠隔から行う機能がEDR製品にあれば、調査作業はかなり効率化されるはずです。

EDR比較選定ポイント(3):容易に展開できるか?

EDRは監視対象のエンドポイントにエージェントソフトウェアを導入する必要がありますが、これを容易に行えるかどうかも重要な選定ポイントです。「エンドユーザーの業務に影響を与えずにエージェントをエンドポイントに展開できるか」「事前設定した状態で展開できるか」といった点はぜひ事前に確認しておきたいところです。

EDR比較選定ポイント(4):サーバ上の分析処理の精度は?

EDRは各エンドポイントで取得したログデータをサーバ上に集め、分析処理を行うことで脅威を検知します。このサーバの機能如何によって、脅威の検知精度やシステム全体の安定性が大きく左右されます。異なるエンドポイント間のアクティビティを相互に関連付けて分析する機能や、外部の脅威インテリジェンスの情報も組み合わせて分析するなど、より高度な分析処理を備えたEDRソリューションを選ぶべきでしょう。

EDR比較選定ポイント(5):第三者機関によるEDR製品評価は?

近年はどのベンダーもエンドポイントセキュリティ製品、EDR製品が一通り出揃い、開発元や販売元が提供するカタログスペックだけではなかなかEDR製品を比較・選定しづらくなってきています。そんなときには、国内外の数多くの調査会社や評価機関が中立の立場から行っている、さまざまなベンダーや製品の売り上げやシェア、機能評価などの結果を参考にしてみるのもいいかもしれません。(参考記事:EDRの比較にも有効:第三者機関によって「日本で最も売れているEDR製品」と認定されたサイバーリーズン

EDRとアンチウイルスおよび次世代アンチウイルス(NGAV)との違い

アンチウイルス(AV)は、かつてはエンドポイントを保護する有力な方法でした。このソフトウェアは、悪質なプログラムを検出し、実行を阻止し、セキュリティ担当者にそれらの除去方法を提供するように設計されています。

しかし、サイバー攻撃の脅威はますます高度なものになり、マルウェアは今や単なる脅威ベクトルの悪用どころか、企業を保護するAVの効力を大きく低下させています。

現在の攻撃者は、攻撃の展開にファイルレス型マルウェア、ゼロデイ攻撃、高度標的型攻撃(APT攻撃)を使用することができます。これらの新しい脅威はシグネチャを使用しないため、従来のウイルス対策プログラムではそれらを検知して阻止することができません。

アンチウイルスがその効力を失うと、セキュリティベンダーは、そのレガシー製品の後継製品を次世代アンチウイルス(NGAV)と名付けました。しかし、この用語の定義が受け入れられていないため、NGAVの要素を正確に特定することができません。次世代アンチウイルス(NGAV)の製品は、シグネチャに基づいた検出だけでは十分でなく、何らかの先進技術を組み込む必要があります。

AVとNGAVはどちらも、特定の兆候を見つけることによって検出を行いますが、人間の創意工夫や攻撃者の行動まで考慮しません。攻撃者らはすぐに順応し、戦術を変え、最終的にはNGAVの回避方法を見つけ出すことでしょう。AVもNGAVも本当の意味で行動検出を行ないません。

  1. NGAV(次世代アンチウイルス)製品は、依然として悪質な挙動に関連する特定のファイル属性を探索している
  2. 多くのNGAVは一度に1台のマシンしか観察しない。すなわち、複数のエンドポイントからのデータを相互に関連付けることができず、1台のマシンで発生している事象しか知ることができない
  3. NGAVは攻撃の防御にのみ力を入れているため、防御できない攻撃の場合、実際に起きたものをほとんど、あるいはまったく認識できない

EDRプラットフォームではエンドポイントの可視性が強化され、単純なマルウェアのインジェクションを超えて進化し、NGAVでは捕捉できなかった脅威を検出することができます。

EDRソリューションはすべての関連する攻撃活動を総合し、攻撃の及ぶ範囲を特定し、フォレンジック調査に大きく貢献します。

サイバーリーズンのEDR

Cybereason EDR」は、エンドポイントの膨大なログデータを、AIを活用した独自の分析ノウハウを用いて解析することで、サイバー攻撃の兆候をリアルタイムに検知し、組織が抱えるサイバー攻撃対策の課題を解決するEDRソリューションで、サイバーセキュリティの最前線に携わった経験豊富なメンバーらによってEDRの研究、開発を続けています。

また、サイバーリーズンでは、「EDR」に加えて、マルウェアが実行される前のブロック機能である「NGAV(次世代型アンチウイルス)」機能、「Cybereason NGAV」を追加し、攻撃のあらゆる段階において脅威を自動的に回避する次世代エンドポイントセキュリティプラットフォーム「Cybereason Complete Endpoint Protection」を提供します。

「Cybereason EDR」の機能の詳細はこちらをご確認ください。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、
国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド