このシリーズでは、セキュリティ分野で最近よく耳にする言葉や企業の情報システム担当者であれば知っておきたい重要なキーワードについて、基礎からわかりやすく解説します。今回紹介するのは「EDR」です。EDR は、ネットワークにつながっているパソコンやスマートフォン、サーバなどの機器に対して行うセキュリティ対策、いわゆる「エンドポイントセキュリティ」と呼ばれる分野で注目されているキーワードです。その概要はどのようなものなのか解説します。
EDR とは?
EDR(Endpoint Detection and Response)は「エンドポイントの検知と対応」と呼ばれるソリューションで、企業ネットワークに接続されているサーバやパソコン、さらにはリモートアクセスで外部から接続されるタブレットやスマートフォンなどの動作を記録・保存し、さまざまなデータ分析技術を用いて疑わしい動作を検出します。さらに、その中から悪意のある活動をブロックし、影響を受けたシステムを回復させるための修復提案を管理者に提供します。また、現在の状況を常に監視しているだけではなく、何か不審な挙動が見つかった際には過去ログにまでさかのぼってその原因を調査するという点も特徴です。
なお、ネットワークに接続されたパソコンやスマートフォンなどのデバイス、端末を「エンドポイント」と呼び、エンドポイントとなる機器やそこに保存された情報をサイバー攻撃などから守るためのもの、またはソリューションを「エンドポイントセキュリティ」と言います。EDR はこの「エンドポイントセキュリティ」の対策の1つです。
なぜ EDR が登場したのか?
近年、エンドポイントセキュリティが重視されるようになってきました。その理由の一つはサイバー攻撃の手口が高度化・巧妙化しており、従来の対策では防御しきれなくなってきたことです。さらに、テレワークなどが普及したことで企業のネットワークにアクセスする端末が増え、エンドポイントが多様化・複雑化していることも挙げられます。
そこで2013年にアメリカのガートナー社が提唱したのが EDR です。EDR は脅威を検知することはもちろん、攻撃を受けた後の対処にも重点を置き、被害を最小限に抑えることを目指しています。
EDR と同じように、エンドポイントの防御を対象としたソリューションとして「EPP(Endpoint Protection Platform)」というソリューションもあります。セキュリティ対策の1つとして多くの人が思い浮かべる「ウイルス対策ソフト(アンチウイルス)」も EPP の一種です。EPP は不正なものからエンドポイントを保護することを目的とし、エンドポイントに侵入したウイルスやマルウェアなどを検知、駆除します。旧来のウイルス対策ソフトは、登録されたパターンを元にウイルスを判別するものが一般的だったため、データがない新しいウイルスへの対応が困難でした。しかし最近では機械学習や振る舞い解析などの技術を活用して、未知のウイルスも検知できるようになっています。とはいえ、EPP が進化しても、巧妙化した攻撃を100%防ぐことは難しい面があります。そうした背景もあり、攻撃を受けることを前提として受けた後の対策まで提供する、EDR が注目されるようになったのです。
EDR の主要な機能
ガートナー社は、EDR は以下の4つの機能を持つものと定義しています。
- セキュリティ・インシデントの検出
エンドポイントを監視し、不正アクセスやシステムの異常動作、マルウェア感染と思われるような不審な振る舞いをすばやく見つけ出します。
- エンドポイントでのインシデントの封じ込め
攻撃を受けたデバイスなどをネットワークから遮断したり、問題のある動きを止めたりすることで、攻撃活動の拡大を抑止します。
- セキュリティインシデントの調査
過去のログなどもさかのぼりながら、被害状況や侵入経路などを調べ、分析します。
- リメディエーション(復旧)ガイダンスの提供
危険なファイルなどを削除し、デバイスを元通りに使用できるように復旧を行います。
これら「検出」「封じ込め」「調査」「復旧」という4つの機能によって、ネットワークに接続されたパソコンやサーバなどを守るのです。
EDR の今後と次世代のエンドポイントセキュリティ
現在、EDR はエンドポイントセキュリティにおいて有効なソリューションの1つですが、EDR だけでは解決できない問題もあります。たとえば、脅威を検出しても、それがどのように侵入してきたのか詳細に分析するためには、ネットワークやサーバとの連携が必要になることもあります。そのため、今後は EDR を他のソリューションと統合させて、より多角的、横断的に分析や対応ができるようになることも求められていくでしょう。
さらに、EDR はエンドポイントに特化したセキュリティ対策ですが、エンドポイントに限らずより広い領域にわたって対策を行うのが「XDR(Extended Detection and Response)」と呼ばれるソリューションです。ガートナー社は、を「複数の個別セキュリティ製品を統合した、一環した検出・レスポンスプラットフォーム」と定義しています。エンドポイントだけではなくメールやクラウド、ネットワークなども含めて、幅広くデータを収集して相互に関連付けることで、より高度な脅威を可視化し、対処することができます。複数の領域を統合して一括管理することで、さまざまな攻撃に対してより効果的な対応ができるだけでなく、複雑なオペレーションを改善し、セキュリティ対策にかける手間やコストを削減することにもつながります。
以上が EDR と今後のエンドポイントセキュリティの動向についての解説です。サイバー攻撃が巧妙化するにつれて、セキュリティ対策は進化しています。自社の対策を見直すにあたって、ぜひ参考にしていただければと思います。
関連記事
現代のセキュリティ問題を解決する「SASE」。導入する前に知っておきたいこと
まずは多要素認証(MFA)から。リモートワークにおいて必要なセキュリティ対策とは?
自社にあった方法はどれ?多要素認証(MFA)ソリューション選びのポイント
中小企業も知っておきたい、リモートワーク時代のセキュリティに必須の「ゼロトラスト」とは?
【セキュリティ用語入門】多要素認証(MFA)とは?概要やメリット・デメリットを解説!
【セキュリティ用語入門】SASE(サッシー)とは?概念や構成する要素を解説
【セキュリティ用語入門】ゼロトラストとは?概要やメリットなどを解説!
Cisco Blog ゼロトラスト考察関連
[1] ゼロトラスト考察 – NIST SP 800-207 (Draft2)
[2] ゼロトラスト考察 – Forrester Zero Trust eXtended (ZTX)
[3] ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020
[4] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 1
[5] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 2
[6] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 3