情報セキュリティコラム

1.EDRとは

EDRとは「Endpoint Detection and Response」の略称で、近年、高度化するサイバー攻撃に対して、エンドポイントで検出と対応を行うこと、もしくはそれを行えるソリューションを指します。

エンドポイントとは、攻撃者が活動する場所のことで、ハッキングなどの活動を直接的に、一通り観察することができるポイントです。

EDRは、エンドポイントでの不審な挙動の検出と調査を実施します。

高度化・巧妙化した手口のサイバー攻撃は100％防ぎようがなく、侵入された後、いかに素早く検知し、食い止めるかが重要という考え方が広がっています。その検知と対処を行うのがEDRです。

2.なぜEDRが注目されているのか

EDRが注目を集めているのは、先述の通り、近年のサイバー攻撃の手口が極めて高度化・巧妙化しており、マルウェアの侵入や感染を100％防ぐのはもはや不可能だといわれていることが背景にあります。

従来型のアンチウイルス対策では、高度なサイバー攻撃の発見や初動対応が遅れ、被害が拡大するリスクが高くなります。

最小限に被害を抑えるするためには、その不審な侵入の実体をいち早く検知して、脅威を除去する対策を行う必要があります。

そのため、ハッキング活動を直接、観察することができ、悪意のある活動を示す異常な挙動を監視および検出するEDRプラットフォームが注目されています。

3.EDRの仕組み

EDRは、エンドポイント上でマルウェアやランサムウェアなどの不審な動きがないかどうかを24時間監視し、何か動きがあれば検知し、然るべき対応を行います。

ここで、EDRの仕組みを簡単に確認しておきましょう。

まず、EDRでは監視対象のエンドポイントに、専用のソフトウェアを通してログを常時取得します。取得されたログはすべてまとめられ、サーバ上で分析処理が行われます。もし、あやしい挙動が見つかればすぐに管理者に通知します。

通知を受け取った管理者は、EDRの管理画面で不審な挙動のログの内容を確認します。それにより、問題はどこにあるのか、影響範囲はどこまでかなどを精査し、適切な対策を実施することができます。

4.EDRプラットフォームの主な機能

サイバー攻撃対策として、EDRプラットフォームを導入する企業は増えています。EDRプラットフォームを知るために、主な機能を理解しておきましょう。

エンドポイントの監視

インストールされているアプリケーションやログ、起動プロセスなどのエンドポイントをリアルタイムに監視します。すべてのエンドポイントの状態を分かりやすく可視化するものもあります。

ログデータの検知・解析

エンドポイントの監視で得られたログデータに対して、不審な動きを検知します。検知後は解析を行い、どのエンドポイントで感染が起きたか、他のエンドポイントへの感染の影響など、感染や被害の状況を特定して表示します。

隔離などの対策の実施

EDRがマルウェアを検知した場合、そのマルウェアや感染した端末を隔離し、ネットワークから切り離すといった機能や、自動修復および危険なファイルの削除などを行う機能を持つものもあります。

5.EDRプラットフォーム導入のメリット

このような機能を持つEDRプラットフォームを導入することで、次の効果が得られます。

万が一、マルウェアが侵入した場合に素早く検知・脅威の除去が可能

マルウェア侵入の予防策も重要ですが、万が一、マルウェアが侵入してしまった場合に、いち早く検知し、脅威を除去する仕組みを作っておくことで、被害を最小限に留められます。

EDRの可視化機能で迅速に対応も可能

EDRプラットフォームには、可視化機能が備わっていることが多く、マルウェアによる感染の大元の原因や影響範囲を一目で把握できるため、迅速かつ効率的に対策が実行できます。

証拠保全が可能

セキュリティ関連の脅威が生じれば、ステークホルダーへと状況や対応策の説明をする必要性が出てきますが、その際もEDRプラットフォームがあればログデータを証拠として、また然るべき対策の根拠として活用もできます。

まとめ

EDRは、サイバー攻撃が高度化・巧妙化しているいま、その被害を最小限に止めるのに役立つセキュリティソリューションです。エンドポイントにおける監視・検知を日常的に行う仕組みを作っておき、少しでもリスクを減らしましょう。