近年、ウイルスをはじめとしたマルウェアの侵入によるサイバー攻撃が脅威となっており、社内のネットワークセキュリティに不安を感じている方もいるでしょう。社内の大事なデータや個人情報を防御するためには、広範囲にカバーできる強固なセキュリティソフトウェアの導入が必須です。
そこで今回は、EDRの概要や仕組みをはじめ、EDRを導入する際のポイントを紹介します。社内のセキュリティ対策に不安を感じているセキュリティ担当者は、当記事を参考にEDRに関する理解を深め、導入可否を検討してください。
EDRとは、「Endpoint Detection and Response」の頭文字をとった、近年注目を集めているセキュリティソリューションです。EDRは、特にエンドポイント端末のセキュリティを担っています。
エンドポイントとは、PCやスマートフォンなどの我々が普段使用しているデバイスを指します。EDRの主な役割は、ネットワーク接続時のエンドポイントに対し、操作や動作の監視を行ったり、サイバー攻撃を検知した際に被害を最小限に抑えたりすることです。
EDRに似たような仕組みとして、EPPやNGAVが挙げられます。どちらもEDR同様、セキュリティソリューションの1つですが、使用目的や役割が異なります。
EPPは、「Endpoint Protection Platform」の頭文字をとったセキュリティソリューションの総称です。エンドポイントにEPPをインストールすることで、ウイルスがエンドポイント自体に侵入しないようブロックする目的で使用されます。つまり、EPPの主な役割は、EDRが作動する前段階でウイルスの侵入からエンドポイントを守ることです。
またNGAVは、EPPに含まれるセキュリティソリューションの一種で、次世代型アンチウイルス(Next Generation Anti-Virus)と呼ばれます。NGAVは既知のウイルスだけでなく、未知のウイルスも認識でき、エンドポイントを進化したマルウェアや、悪意のあるソフトウェアから守れます。
このように、NGAVをはじめとしたEPPで侵入を防ぎ、侵入された時はEDRで対処することで、エンドポイントのウイルス感染被害を最小限にとどめることが可能です。
EPPやNGAVのように、ウイルスなどを感知し侵入を防ぐセキュリティソフトウェアはゲートウェイセキュリティ製品と呼ばれる一方、EDRはエンドポイントセキュリティ製品と呼ばれ2020年以降さらに注目が集まっています。
エンドポイント製品であるEDRが注目され始めた背景には、サイバー攻撃の巧妙化やネットワーク利用の多様化が挙げられます。
サイバー攻撃に使用されるウイルスをはじめとしたマルウェアは、テクノロジーの進化に伴いより複雑かつ多様に変化しており、EPPのみでは防ぐことが難しくなってきました。また、テレワークの普及によってネットワークの使用環境が多様化したことで、一括して情報セキュリティ対策することが難しくなりました。そこで、マルウェアが万が一侵入しても、事後対策で被害を最小限にできるEDRソリューションの需要が高まっています。
EDRは、下記4つのフェーズを繰り返すことでマルウェア攻撃からの被害を防ぎます。
| 1 | 監視・検知 |
|---|---|
|
通常時:エンドポイントの動作やファイル操作などを常に監視する 異常時:ウイルスなどのマルウェアによる異常な操作を自動検知し、マルウェア感染に関する対策が開始される |
|
| 2 | 隔離 |
|---|---|
| EDRがマルウェア侵入などの異常を感知したら、感染の可能性があるエンドポイントをネットワークから切り離し、感染拡大を防ぐ | |
| 3 | 調査・分析 |
|---|---|
| エンドポイント内で起こった動作ログの記録から、マルウェアの侵入経路や感染の引き金となった根本原因、影響範囲を特定しマルウェアの概要を分析する | |
| 4 | 復旧 |
|---|---|
| 調査・分析の結果を踏まえ、危険なファイルの削除や端末のシャットダウンなど必要最低限の復旧作業を実行し、マルウェアの駆除を行う | |
上記で示した4つのフェーズでは、マルウェアに感染したエンドポイント以外のセキュリティにも一役かっています。例えば、EDRによってマルウェアに感染した端末を外部からシャットアウトすることで、マルウェアの二次感染を防ぐことが可能です。
EDRの導入によって、表向きの動作に異常をきたさないような隠れたマルウェアの侵入や感染拡大を防げたり、復旧時にかかるコストを削減できたりします。
EDRでセキュリティを高めることで、エンドポイントの使用には多くのメリットをもたらします。しかし、適切なEDRの選択や導入にはいくつか注意点もあり、導入前に把握しておくことが重要です。ここからは、EDRを導入する際のポイントを4点紹介します。
近年、EDR需要の高まりに併せて、EDRを含んださまざまな機能を提供するセキュリティ対策製品が展開されています。EDR単体のソフトウェアもあれば、EPPなどのゲートウェイ製品がセットになったものもあるため、EDR以外の機能もチェックしましょう。
EPPなどのゲートウェイ製品とEDRなどのエンドポイント製品を掛け合わせることで、エンドポイント対策の効果が高まります。EDRだけでなく、NGAVや、USBデバイスの制御などの機能が組み込まれた、できる限り多くの領域に対応できるマルチなソフトウェアや外部の監視サービスと連携したものを選択することがおすすめです。
EDRを導入する場合は、操作ログを監視するために管理サーバーの導入も必要です。管理サーバーには2つのタイプが存在し、メリットやデメリットがあるため、総合的に判断することをおすすめします。下記に代表的な管理サーバーのタイプや特徴を示します。
| クラウド型 |
社外の管理サーバーで一括して管理する、管理サーバーの中でも主流なタイプ。 メリット:社外でネットワークを使用する場合でも対応でき、導入や運用のコスト・負担が少ない |
|---|---|
| オンプレミス型 |
自社のデータセンターでサーバーを管理するタイプ。 メリット:クラウド化できないシステムでも管理が可能 |
EDRはセキュリティ対策用の情報を最新に保つため、頻繁にソフトウェアの更新を行います。そのため、少なからず自社のネットワークに負荷がかかります。特に高機能なEDRの導入を検討する場合は、ネットワークへの負荷も大きくなりやすいです。ネットワークの負荷が大きくなると、ネットワークを使用した業務に支障をきたす恐れもあるため、自社のネットワークのキャパシティとEDR導入による負荷の両面から判断し、導入するEDRの種類を選定するとよいでしょう。
EDRを導入する際は、OS環境なども事前に把握しておきましょう。近年、一般的なOSには標準対応するようになりましたが、特定業界で使用されるOSなどにはまだ対応していない場合もあるため、注意が必要です。
また、EDRのスペックによって管理可能な台数に制限が設けられているものもあります。対応台数に限らず、EDR製品の仕様は事前に確認しておきましょう。
EDRを導入する際に障壁となるものが、導入にかかるコストです。EDRは、自社のデータセンターや社外クラウドにて一括で管理されますが、EDRを契約する台数分のライセンス費用が必要となります。
ライセンス費用の相場は、1台につき年間6,000円程度ですが、契約台数が増えると総額は増えていきます。ライセンス費用以外にも、導入費用や委託費用など諸費用も必要となるため、導入にかかるコストの見積もりを行うことがおすすめです。
EDRは、PCやスマートフォンなどのエンドポイントをマルウェアの感染から守る最後の砦として使用されるセキュリティ製品です。監視・検知→隔離→調査・分析→復旧と4つのフェーズを通ることで、感染拡大や復旧に必要な作業を最小限に留めながら、セキュリティ対策ができます。
しかし、エンドポイントの安全を守るEDRの導入には、適切な管理サーバー・製品の選択や、導入コストの把握など注意すべきポイントもいくつか存在します。EXOセキュリティでは、人工知能とクラウド分析技術を適用した強固な法人向けセキュリティシステムを低価格で導入可能です。EDRだけでなくNGAVの役割も果たす上、管理者の負担も少ないため、企業にEDRの導入を検討している方はぜひお問い合わせください。
