- 1 EDRとは何か?
- 2 エンドポイントセキュリティ、EPPとEDRの違いとは?
- 3 テレワークの拡大で広がるEDRの重要性
- 4 EDRのメリットとデメリット
- 5 EDRを利用するべき企業
- 6 EDRの機能
- 7 EDRを選ぶポイント
- 8 代表的なEDR製品の一覧と比較
- 8.1 ソフトバンク子会社で不正アクセス被害 契約変更や新規購入など影響
- 8.2 チャットツールが不正アクセスで情報流出 ログデータやメールアドレス情報など被害か
- 8.3 スマートEDR製品評価
- 8.4 SentinelOne Singularity Platform(センチネルワン)EDR製品評価
- 8.5 Microsoft Defender for Endpoint EDR製品評価
- 8.6 McAfee MVISION(マカフィー)EDR製品評価
- 8.7 BlackBerry (旧サイランス)EDR製品評価
- 8.8 VMware Carbon Black Endpoint(カーボンブラック) EDR製品評価
- 8.9 Cyberreason EDR(サイバーリーズン) EDR製品評価
- 9 資料ダウンロード
EDRとは何か?
Endpoint Detection and Responseの略で、マルウェアからエンドポイント(端末)を守るためのエンドポイントセキュリティ製品です。サイバー攻撃が高度化していく中で、マルウェアの侵入を防ぎきれないことを前提としたセキュリティ対策(ゼロトラスト)、という点で、導入企業が増えています。
エンドポイントとは、パソコン、スマートフォンなど、従業員が業務で使う端末を指しています。そのエンドポイントから情報を集め、挙動を監視することで、マルウェアの感染や侵入、被害拡大を防ぎます。
2021年現在はほとんどの場合、対象となるエンドポイントはパソコンですが、サーバーのマルウェア対策に利用するなど、徐々に活用される幅が広がってきており、IoT製品などにも実装されていくと考えられています。
エンドポイントセキュリティ、EPPとEDRの違いとは?
EPPとは?
従来型のエンドポイントセキュリティ製品であるEPPはEndpoint Protection Platformの略で、いわゆるアンチウィルスソフトを指しています。EDR同様、エンドポイントをマルウェアから守る製品です。
マルウェアの侵入を阻止する機能に特化していて、ほとんどの場合、パソコンに入ってくるファイルを手あたり次第スキャンして、マルウェアの侵入前に検知します。どういう仕組みでスキャンしているか、かみ砕いてわかりやすく説明すると、世界中で発見されたマルウェア情報を急いでブラックリスト登録して、ブラックリスト登録されたマルウェアが含まれていないかスキャンしているようなイメージです。
EDRとEPPは何が違うのか?
マルウェアによる被害をエンドポイント侵入前に防ぐのがEPPとするなら、エンドポイントの中を監視し続けることで、マルウェアが悪さをしたり、感染を拡大させることを防ぐのがEDRです。
EDRが必要とされる理由 EDR=ワクチン
EPPとEDRの違いを例えるなら、コロナ対策に関わる、マスク、と、ワクチン、の関係です。マスクは、ウィルスの侵入を防ぎ、ワクチンは発症や症状悪化を防ぎます。しかし、マスクだけではコロナの感染拡大は防ぎきれませんでした。マスクをしても侵入を防ぎきれないからです。
マルウェアも同様で、サイバー攻撃が高度化する中、入口対策だけで感染を防ぐことは不可能な時代になっています。実際、シマンテックのVice Presidentも2014年のカンファレンスで、もうアンチウィルスソフトでは40%程度のマルウェアしか止められないと言っています。
ゼロトラストセキュリティという考え方が叫ばれるようになっていますが、サイバー攻撃に対して、安全な環境、というのは存在しなくなっているということです。だからこそ、侵入を未然に防げなかったマルウェアに対しても、エンドポイントを監視すること、検知・被害拡大を防ぐための、ワクチン=EDRが必要なのです。
EPPとEDR、どちらを選ぶべき?
結論から言えば、どちらも必要です。セキュリティ対策は、何重にも対策をとることで安全性が高まります。そのため、昨今では、EPPとEDRの両方の機能を備えた製品、もしくはEPP製品とEDR製品をセットにした提案が一般的となっています。その中でも、EDR機能が充実した製品を選択することをお勧めしています。
テレワークの拡大で広がるEDRの重要性
テレワーク環境も、EDR導入の必要性を高めています。これまでは、社内ネットワークという、ある程度安全性が担保されている場所でエンドポイントを利用していましたが、テレワークになると、安全性が担保されていない環境で利用することになります。実際、テレワーク環境下でのセキュリティインシデントが増えているというデータも出ています。
テレワーク環境下では、エンドポイントを守る以外に守る方法がないこともあり、よりセキュリティを強化するという観点で、EDRの導入を検討する企業の増加の一因になっているようです。
EDRのメリットとデメリット
メリット
EDRを導入するメリットとしては、安全性が高まることです。先述したように、すでにEPPでは半分以上のマルウェアを阻止できないため、マルウェアからの脅威へ十分な対策をとるには、EDRが必須になりつつあります。
デメリット
EDRのデメリットとして一番大きいのは、運用が必要になる点です。EDRは、EPPと異なり、どの製品でもある程度、専門家や詳しい担当者による運用が必要です。例えば、社内の独自ソフトウェアがある場合、EDRは一般的に使われていない不明なソフトウェアと検知するため、今後、該当ソフトの挙動に関してはホワイトリストに登録するなど、対応が必要だからです。
しかし、その運用を外部委託しようとすると、最低でも月間数十万円のコストがかかるため、中小企業にとっては、大きな負担となります。また、ライセンス自体もEPPと比較すると若干高額なことから、中小零細企業へのEDRの導入は進んでいないのが現状です。
EDRを利用するべき企業
セキュリティの面だけ考えると、すべての企業がEDRを導入するべきです。ただし、デメリットとして説明させていただいた通り、運用も必要なことを考えると、実際にはだいたい100名以上の会社で情シスやセキュリティ担当が1名でも在籍する企業規模からの導入が現実的ではないでしょうか。
EDRの機能
EDRは、主に、検知・侵入阻止、監視・ログ保管、解析・調査、インシデント対応、4つの機能に分かれています。
検知・侵入阻止
基本的にEPPがこれまで対応していた機能で、端末にマルウェアが侵入する前に検知して侵入阻止をする機能です。最近では、EPPの機能を統合しているEDRが増えてきています。ただ、EDRライセンスとしてはこの機能が含まれておらず、EPPライセンスと合わせて購入が必要な製品もあるので注意が必要です。
監視・ログ保管
エンドポイントにインストールしたエージェントによって、端末の操作ログ、プロセス、レジストリ情報、などを監視する機能で、EDRの中心的な機能です。監視と同時に、動作ログを記録して残していくことで、万が一インシデントが起きた際に、何が原因でどのファイルが影響を受けたのか分析するためのデータを残します。
解析・調査
監視している中で見つけた怪しいプログラムやプロセスを解析・調査する機能です。この機能があることで、セキュリティ運用担当者がゼロから調べなくても、対応・判断に必要な情報を収集することが可能になります。
インシデント対応
万が一、マルウェアによるインシデントが発生した場合に、ネットワークと切断したり、マルウェアが実行しているプロセスを停止させることで、実質的にマルウェアによる被害を阻止、または最小限に抑制します。製品によって、性能差が出てくるポイントです。
その他
その他、製品ごとに、特殊な機能がついている場合もあります。例えば、流行しているランサムウェアの対策として、ランサムウェア感染により暗号化されたファイルを復元する機能などがあります。
EDRを選ぶポイント
ウィルスバスター、マカフィー、ESETなどEPP製品で広く使われている製品にも、EDRライセンスの提供をスタートさせています。しかし、そういった製品の中には、見た目はEDR機能だが、機能として不十分という製品も少なくありません。
一方で、サイバーリーズン、カーボンブラック、クラウドストライク、センチネルワンなど、EDR製品を起点としているエンドポイントセキュリティもEPP機能を付帯していたり、連携できるEPP製品があります。こちらの方が、EDR機能の完成度が高いため、本格的なEDR製品を選択したい場合は、EDR機能を中心にした製品を選んだ方がいいでしょう。
代表的なEDR製品の一覧と比較
ソフトバンク子会社で不正アクセス被害 契約変更や新規購入など影響
ソフトバンクの完全子会社「SB C&S」において、外部からの不正アクセス被害が検知されたという。 被害は同社が運営する事業者向けECサイト「Mobile Solution Market」で発生 […]
チャットツールが不正アクセスで情報流出 ログデータやメールアドレス情報など被害か
ビジネスチャットツール「Typetalk」が不正アクセスを受け、ユーザー情報など流出した可能性が懸念されている。 Typetalkの運営「ヌーラボ」社によると、不正アクセスは7月21日8月1日まで続い […]
スマートEDR製品評価
スマートEDRは、株式会社TTMが提供するAI運用型EDRです。スマートEDRなら、保守運用をAIが対応するため、高額な保守運用コストが必要ありません
SentinelOne Singularity Platform(センチネルワン)EDR製品評価
SentinelOneは2013年に設立したイスラエル発のサイバーセキュリティ企業で、現在はカリフォルニア州マウンテンビューに拠点を置いています。PC、IoTデバイス、クラウドワークロードの監視にAI […]
Microsoft Defender for Endpoint EDR製品評価
「Microsoft Defender for Endpoint」はMicrosoft社が開発しているエンドポイントセキュリティソリューションです。その防御範囲にはエンドポイントの保護、エンドポイント […]
McAfee MVISION(マカフィー)EDR製品評価
McAfee MVISION EDRはコンピュータ・セキュリティ関連のベンダーとして世界一の規模を誇るMcAfee,LLCが開発しているEDR製品です。 端末の動作ログを収集・AIによる分析を行い、悪 […]
BlackBerry (旧サイランス)EDR製品評価
Cylanceは2019年、BlackBerryと統合され、エンドポイントセキュリティ製品である「Cylance PROTECT」、「Cylance OPTICS」はそれぞれ「BlackBerry P […]
VMware Carbon Black Endpoint(カーボンブラック) EDR製品評価
VMware Carbon Blackはヴイエムウェア株式会社(本社はアメリカ カリフォルニア州)が販売しているセキュリティ製品です。 VMwareのエンドポイントセキュリティ製品は主に、EPP・ED […]
Cyberreason EDR(サイバーリーズン) EDR製品評価
Cyberreason EDRはサイバーリーズン・ジャパン株式会社が販売しているEDR製品です。 エンドポイントのログを収集し、侵⼊したウイルスなどの悪意のある攻撃の兆候をクラウド上のAIエンジンによ […]
資料ダウンロード
EDRの運用サービスの選択基準について解説した資料をダウンロードいただけます。下記フォームを送信いただくと資料リンクが表示されます。