EDR製品一覧とその特徴・評判比較【2023年最新版】

EDRとは何か?

Endpoint Detection and Responseの略で、マルウェアからエンドポイント(端末)を守るためのエンドポイントセキュリティ製品です。サイバー攻撃が高度化していく中で、マルウェアの侵入を防ぎきれないことを前提としたセキュリティ対策(ゼロトラスト)、という点で、導入企業が増えています。

エンドポイントとは、パソコン、スマートフォンなど、従業員が業務で使う端末を指しています。そのエンドポイントから情報を集め、挙動を監視することで、マルウェアの感染や侵入、被害拡大を防ぎます。

2021年現在はほとんどの場合、対象となるエンドポイントはパソコンですが、サーバーのマルウェア対策に利用するなど、徐々に活用される幅が広がってきており、IoT製品などにも実装されていくと考えられています。

エンドポイントセキュリティ、EPPとEDRの違いとは?

EPPとは?

従来型のエンドポイントセキュリティ製品であるEPPはEndpoint Protection Platformの略で、いわゆるアンチウィルスソフトを指しています。EDR同様、エンドポイントをマルウェアから守る製品です。

マルウェアの侵入を阻止する機能に特化していて、ほとんどの場合、パソコンに入ってくるファイルを手あたり次第スキャンして、マルウェアの侵入前に検知します。どういう仕組みでスキャンしているか、かみ砕いてわかりやすく説明すると、世界中で発見されたマルウェア情報を急いでブラックリスト登録して、ブラックリスト登録されたマルウェアが含まれていないかスキャンしているようなイメージです。

EDRとEPPは何が違うのか?

マルウェアによる被害をエンドポイント侵入前に防ぐのがEPPとするなら、エンドポイントの中を監視し続けることで、マルウェアが悪さをしたり、感染を拡大させることを防ぐのがEDRです。

EDRが必要とされる理由 EDR=ワクチン

EPPとEDRの違いを例えるなら、コロナ対策に関わる、マスク、と、ワクチン、の関係です。マスクは、ウィルスの侵入を防ぎ、ワクチンは発症や症状悪化を防ぎます。しかし、マスクだけではコロナの感染拡大は防ぎきれませんでした。マスクをしても侵入を防ぎきれないからです。

マルウェアも同様で、サイバー攻撃が高度化する中、入口対策だけで感染を防ぐことは不可能な時代になっています。実際、シマンテックのVice Presidentも2014年のカンファレンスで、もうアンチウィルスソフトでは40%程度のマルウェアしか止められないと言っています。

ゼロトラストセキュリティという考え方が叫ばれるようになっていますが、サイバー攻撃に対して、安全な環境、というのは存在しなくなっているということです。だからこそ、侵入を未然に防げなかったマルウェアに対しても、エンドポイントを監視すること、検知・被害拡大を防ぐための、ワクチン=EDRが必要なのです。

EPPとEDR、どちらを選ぶべき?

結論から言えば、どちらも必要です。セキュリティ対策は、何重にも対策をとることで安全性が高まります。そのため、昨今では、EPPとEDRの両方の機能を備えた製品、もしくはEPP製品とEDR製品をセットにした提案が一般的となっています。その中でも、EDR機能が充実した製品を選択することをお勧めしています。

テレワークの拡大で広がるEDRの重要性

テレワーク環境も、EDR導入の必要性を高めています。これまでは、社内ネットワークという、ある程度安全性が担保されている場所でエンドポイントを利用していましたが、テレワークになると、安全性が担保されていない環境で利用することになります。実際、テレワーク環境下でのセキュリティインシデントが増えているというデータも出ています。

テレワーク環境下では、エンドポイントを守る以外に守る方法がないこともあり、よりセキュリティを強化するという観点で、EDRの導入を検討する企業の増加の一因になっているようです。

EDRのメリットとデメリット

メリット

EDRを導入するメリットとしては、安全性が高まることです。先述したように、すでにEPPでは半分以上のマルウェアを阻止できないため、マルウェアからの脅威へ十分な対策をとるには、EDRが必須になりつつあります。

デメリット

EDRのデメリットとして一番大きいのは、運用が必要になる点です。EDRは、EPPと異なり、どの製品でもある程度、専門家や詳しい担当者による運用が必要です。例えば、社内の独自ソフトウェアがある場合、EDRは一般的に使われていない不明なソフトウェアと検知するため、今後、該当ソフトの挙動に関してはホワイトリストに登録するなど、対応が必要だからです。

しかし、その運用を外部委託しようとすると、最低でも月間数十万円のコストがかかるため、中小企業にとっては、大きな負担となります。また、ライセンス自体もEPPと比較すると若干高額なことから、中小零細企業へのEDRの導入は進んでいないのが現状です。

EDRを利用するべき企業

セキュリティの面だけ考えると、すべての企業がEDRを導入するべきです。ただし、デメリットとして説明させていただいた通り、運用も必要なことを考えると、実際にはだいたい100名以上の会社で情シスやセキュリティ担当が1名でも在籍する企業規模からの導入が現実的ではないでしょうか。

EDRの機能

EDRは、主に、検知・侵入阻止、監視・ログ保管、解析・調査、インシデント対応、4つの機能に分かれています。

検知・侵入阻止

基本的にEPPがこれまで対応していた機能で、端末にマルウェアが侵入する前に検知して侵入阻止をする機能です。最近では、EPPの機能を統合しているEDRが増えてきています。ただ、EDRライセンスとしてはこの機能が含まれておらず、EPPライセンスと合わせて購入が必要な製品もあるので注意が必要です。

監視・ログ保管

エンドポイントにインストールしたエージェントによって、端末の操作ログ、プロセス、レジストリ情報、などを監視する機能で、EDRの中心的な機能です。監視と同時に、動作ログを記録して残していくことで、万が一インシデントが起きた際に、何が原因でどのファイルが影響を受けたのか分析するためのデータを残します。

解析・調査

監視している中で見つけた怪しいプログラムやプロセスを解析・調査する機能です。この機能があることで、セキュリティ運用担当者がゼロから調べなくても、対応・判断に必要な情報を収集することが可能になります。

インシデント対応

万が一、マルウェアによるインシデントが発生した場合に、ネットワークと切断したり、マルウェアが実行しているプロセスを停止させることで、実質的にマルウェアによる被害を阻止、または最小限に抑制します。製品によって、性能差が出てくるポイントです。

その他

その他、製品ごとに、特殊な機能がついている場合もあります。例えば、流行しているランサムウェアの対策として、ランサムウェア感染により暗号化されたファイルを復元する機能などがあります。

EDRを選ぶポイント

ウィルスバスター、マカフィー、ESETなどEPP製品で広く使われている製品にも、EDRライセンスの提供をスタートさせています。しかし、そういった製品の中には、見た目はEDR機能だが、機能として不十分という製品も少なくありません。

一方で、サイバーリーズン、カーボンブラック、クラウドストライク、センチネルワンなど、EDR製品を起点としているエンドポイントセキュリティもEPP機能を付帯していたり、連携できるEPP製品があります。こちらの方が、EDR機能の完成度が高いため、本格的なEDR製品を選択したい場合は、EDR機能を中心にした製品を選んだ方がいいでしょう。

代表的なEDR製品の一覧と比較

資料ダウンロード

EDRの運用サービスの選択基準について解説した資料をダウンロードいただけます。下記フォームを送信いただくと資料リンクが表示されます。

最新情報をチェックしよう!