EDRとは?エンドポイントセキュリティの基本情報とEDRの選び方
EDRとは?エンドポイントセキュリティの基本情報とEDRの選び方
近年ではインターネットが主流となり、あらゆるシステムのクラウド化も拡大しつつあります。利便性が大幅に向上した一方で、ウイルス感染の脅威や危険性も高まっていることが実情です。そのため、パソコンをはじめとした通信機器やデバイスを活用する企業はもちろん、個人においてもセキュリティ対策は欠かせないものとなりました。
セキュリティ対策を怠ると、第三者によるサイバー攻撃や情報漏えいといった問題の発生リスクが高まります。そして、数あるセキュリティソリューションの中でも、代表的なものの1つが「EDR」です。
当記事では、EDRの概要や注目されている理由から、その他セキュリティソリューションとの違い、EDRの選び方、運用時のポイントまで詳細に解説します。
目次
1. EDRとは?
EDRとは、組織におけるパソコンやスマートフォンなどのエンドポイントからログデータを継続的に監視・収集し、不審な挙動を検知した際に管理者へリアルタイム通知を行うセキュリティソリューションです。「Endpoint Detection and Response」の頭文字をとった略称で、「イーディーアール」と読みます。
EDRは、サイバー攻撃そのものの阻止ではなく、不正な侵入・攻撃を受けた後のサポートに焦点を当てていることが特徴です。EDRによる通知が届いた際、管理者は即座にログデータを確認し適切な対策を講じることで、被害を最小限に抑えられるでしょう。
1-1. エンドポイントセキュリティとの関係性
エンドポイントセキュリティ(Endpoint Security)とは、エンドポイントに対して講じるセキュリティ対策のことです。そもそもエンドポイントとは、「終点」や「末端」を意味する英単語であり、IT業界においては基本的に組織内ネットワークに接続されたパソコン・スマートフォン・タブレットなどの通信機器・デバイスを指します。
そしてEDRは、正式名称を「Endpoint Detection and Response」というように、エンドポイントにおけるセキュリティソリューションの一種です。そして、エンドポイントセキュリティの中でも「ログデータの精査によって原因や影響範囲を特定する製品」という位置づけとなっています。
1-2. EDRが注目されている理由
EDRが注目されている理由には、主に「サイバー攻撃における手口の高度化」と「“働き方の多様化”の普及」が挙げられます。
サイバー攻撃は古くからあるものですが、新たな手口が生まれては対策され、さらに新たな手口が生まれるという状況となっています。ウイルスやマルウェアの脅威は進化し続けているため、「感染を防ぐ」ことのみに重きを置くとかえって被害が拡大するおそれがあるでしょう。
また、近年では働き方の多様化が進み、オフィス以外の場所で勤務する方も増加しました。しかし、オフィス外での仕事は社外のネットワークを活用することとなるため、ネットワークを経由した脅威のリスクが高まってしまいます。
サイバー攻撃を完全に防ぐことは困難です。そのため、脅威の侵入を迅速に発見し、かつサイバー攻撃後のサポートにも対応するEDRは、近年非常に注目されています。
2. EDRとEPP・NGAV・DLPの違い
エンドポイントセキュリティは、大きくEDRとEPPに分けられます。
EPPとは、「Endpoint Protection Platform」の頭文字をとった略称で、サイバー攻撃やマルウェア侵入の阻止を目的としたセキュリティソリューションです。マルウェア侵入やサイバー攻撃による被害の最小限化を図るEDRとは、役割・目的が異なります。
そして、より進化したアンチウイルス製品や関連したセキュリティシステムがNGAV・DLPです。
EDRはエンドポイントの挙動を監視しながらマルウェア侵入後の迅速な対応をサポートする製品で、NGAVは振る舞い検知や機械学習などによって未知のマルウェアの侵入を阻止することに強みをもった製品となっています。
EDRは主にマルウェア侵入による被害の最小限化を目的とした製品で、DLPは第三者による攻撃だけでなく、内部不正や操作ミスによる情報漏えいの阻止を目的とした製品となっています。
3. EDRの選び方
各社員にエンドポイントとなる端末機器を配布している企業であれば、特にEDRなどのセキュリティソリューションを活用したエンドポイントセキュリティが重要です。しかし、「数ある製品の中から、どのような製品を選べばよいか分からない」と悩む方も多くいるでしょう。
ここからは、EDRの選び方を機能・動作環境・コストの3つの項目に分けて具体的に説明します。
3-1. 機能
マルウェアやランサムウェアといったサイバー攻撃は、日々アップデートを繰り返しています。高度化した未知の脅威を防ぐためには、最新の脅威情報を漏れなく検出できるかどうかを確認する必要があります。
したがって、EDRを選ぶ際はまず機能性を重視しましょう。EDR製品の中には、分析精度の高さに特化しているものや、AI機能学習が搭載されているもの、さらに感染経路や影響範囲の調査を自動化できるものなどがあり、これらの機能が複合化された高度な製品もあります。どのような機能が備わっているかをチェックした上で、自社に適したEDR製品を選ぶとよいでしょう。
3-2. 動作環境
EDRを選ぶ際は、動作環境もしっかりチェックしておきましょう。特に着目すべきポイントは、「システム環境」「管理サーバー」です。
EDRの製品によって、対応OSや台数、さらにサーバーは異なります。自社に適したシステム環境かどうかはまずチェックすべきと言えるでしょう。ログの収集・精査・分析には大きな負荷がかかるため、自社のICT環境やネットワークに影響を及ぼさないかも確認する必要があります。
また、EDRではさまざまなログを監視するための管理サーバーも必要です。管理サーバーは自社でEDR用サーバーを構築するオンプレミス型と、クラウド型の2パターンがあります。導入・利用における負担が少ないのはクラウド型ですが、ログを社内で管理したいという場合はオンプレミス型がおすすめです。
3-3. コスト
EDRを選ぶ上で、もう1つチェックしておくべき点が導入コストです。
EDRのライセンス費用は、基本的に1台あたり年額約5,000~6,000円、月額約500円が目安となります。数十台もの端末を管理する企業の場合、すべてのエンドポイントに導入するとなれば費用負担は非常に大きくなるでしょう。
また、EDRだけでは脅威の侵入を阻止できないため、必然的にEPPといった他のセキュリティソリューションとの併用が求められます。これらのコストもあわせて検討しなければならない点を覚えておきましょう。
4. EDRを運用する際のポイント
EDRを導入したものの、運用体制が整っておらず、きちんと活用できていないというケースも珍しくありません。
せっかく導入したEDRをきちんと運用するためにも、まずは導入した製品の基本的な使い方を把握しておくことが大切です。その上で、不要な検知アラートを防ぐために自社に適した検知精度へと設定したり、他のセキュリティソリューションとうまく連携させたりする必要があります。通常業務に加えて、このような製品の使用に関する調整やルールの策定を行わなければならないため、社内に十分なリソースを確保しておく必要があることに注意してください。
しかし、社内に専門知識を有する人材がいない場合、これらの行動をとることは簡単ではありません。専門知識を有する人材が不足しているなら、セキュリティ対策に関して高度な知識をもった外部の専門家に相談することもおすすめです。
まとめ
EDRとは、エンドポイントからログを継続的に監視・収集し、不審な挙動を検知した際に管理者へリアルタイム通知を行うセキュリティソリューションです。エンドポイントセキュリティにおいては、サイバー攻撃そのものの阻止ではなく、不正な侵入・攻撃を受けた後のサポートという役割をもっています。
EDRを選ぶ際は、機能や動作環境、さらに導入コストを検討した上で、適切な製品を選定するとよいでしょう。また、導入したEDRをきちんと運用するためにも、セキュリティ対策に関する知識をもった専門家に相談することも1つの手段です。