ICTシステムの設計・運用・構築 TOP
- >
私たちのサービス
- >
セキュリティ対策サービス
- >
NECフィールディングのセキュリティ紹介
- >
関連記事
- >
- EDRとは?EPPとの違いや製品選びの比較・選定ポイントをわかりやすく解説!
EDRとは?EPPとの違いや製品選びの比較・選定ポイントを
わかりやすく解説!
サイバー攻撃が年々高度化するのに伴い、企業で利用するパソコンやサーバなどのデバイスに対し、セキュリティ対策ソフトをインストールするだけでは対処できないことも増えてきています。そこで近年注目されているEDRについて、その仕組みや重要性などを紹介します。
EDRとは?わかりやすく解説!
「EDR」とは「Endpoint Detection and Response」の頭文字を取った略語で、エンドポイントのセキュリティを高めるツールのことを指します。
これまでのセキュリティ対策では「脅威の侵入防御」対策がメインでしたが、EDRは「脅威の侵入防御+侵入後の対策」ができます。侵入後の対策とは、マルウェアなどの侵入検出から、感染した端末の隔離、感染原因の調査・分析、感染現認ファイルの駆除・復旧などがあります。EDRを導入することで、ウイルス感染の対策になるのはもちろん、万一ウイルスに感染した場合の対策にもなります。
EDRは、パソコンやサーバだけでなく、スマートフォンやタブレットなど、企業内のあらゆるエンドポイントの操作や動作の監視を行っており、サイバー攻撃を受けたときにはそれを早期に発見し、対処を行います。
EDRはサイバー攻撃を阻止するだけではありません。マルウェアなどがデバイスの内部に侵入した場合でも、迅速な対応によって被害の拡大を防ぎます。
EDRの役割とは?
EDRの主な役割は、マルウェアの検知や除去などの初動対処を迅速に行い、被害を最小限に抑えることです。細かく分けると次のような役割があります。
- エンドポイントをリアルタイム監視する
- エンドポイントのログデータを解析し、サイバー攻撃の兆候を検知する
- マルウェアへの感染が発生したときには、どのエンドポイントで感染が起きたのか」
「他のエンドポイントに感染していないのか」といったことを迅速に調査し、感染や被害を特定する - すべてのエンドポイントの状態をモニターへ可視化する
- 監視を行うデバイスへの負荷を最小限に抑える
EDRの仕組み
EDRを導入すると、専用のソフトである「エージェントソフトウェア」がエンドポイントを常時監視するようになります。このエージェントソフトウェアでは、エンドポイントの使用状況や通信内容などのログを収集していきます。
収集されたログはサーバへと送られて、「不審な挙動がないか」「サイバー攻撃を受けていないか」などを分析します。もし不審な挙動やサイバー攻撃が発見されると、管理者へとすぐに通知されます。
その上でログを精査し、不審な挙動やサイバー攻撃などの原因や影響範囲のチェックを行い、適切に対処します。
EPPとEDRの違い
EDRに似たセキュリティ用語としてEPPというものがあります。
EPPとは
「EPP」とは「Endpoint Protection Platform(エンドポイント保護プラットフォーム)」の頭文字を取ったセキュリティ用語です。
EPPは一般的にはアンチウイルスソフトやウイルス対策ソフトと呼ばれており、パターンマッチングなどによって、マルウェアがデバイスへ侵入するのを防ぐことを目的としています。
EPPとEDRの違いは対策の「目的」にある
EPPはデバイスへのマルウェア侵入を防ぐことを目的としているのに対して、EDRはデバイスへマルウェアが侵入した後の被害を最小限に抑えることを目的としているという違いがあります。
そのため、搭載されている機能も異なります。EPPは未知のマルウェアも含めて検知・駆除、攻撃のブロックをすることが主な機能です。それに対してEDRは、マルウェアの検知に加えて感染経路を特定する機能が搭載されているほか、エンドポイント内部のアクティビティを監視する機能も搭載されています。
NGAVとEDRの違い
エンドポイントに対するセキュリティ対策製品はいろいろあります。ここでは、NGAVとEDRの違いについて説明します。
NGAVとは
NGAVは「Next Generation Antivirus」の略で、マルウェア特有の動作からマルウェアを検知するソフトウェアです。
NGVAはこれまでよく使われていたパターンマッチングの技術ではなく、ふるまい検知やAI学習・機械学習などの技術を用います。動作からマルウェアの可能性があると判断された場合はブロックします。
疑わしい時点でブロックするため、未知のマルウェアの脅威が迫った場合でも対処できますが、一方でマルウェアでない場合もブロックしてしまう可能性があります。
NGAVの目的は「マルウェアの侵入を防ぐ」こと
既知のマルウェアはもちろんですが、未知のマルウェアを検知し、侵入を防ぐことが目的です。
NGAVはマルウェアの侵入を防ぐことが目的で、EDRはサイバー攻撃の早期発見と対処と、それぞれ目的が異なります。NGAVでマルウェアの侵入を防ぎ、EDRで万が一マルウェアが侵入した場合の早期対処を行うのが理想的でしょう。
EDRが注目される背景は?
万一ウイルスに侵入された場合の被害を最小限に!
EDRが注目されている背景には、近年、セキュリティに対する考え方が変化していることと、テレワークが普及してきていることの2つがあります。
ウイルスの進化によるセキュリティへの考え方の変化
ウイルスなど、マルウェアは年々高度化し脅威が高まっています。近年ではEPPだけですべてのサイバー攻撃の回避ができずに、未知のマルウェアが侵入してしまう可能性も増えてきました。
そこで、サイバー攻撃が行われる前の対処法であるEPPに加え、サイバー攻撃をされた後の対応を行うEDRを組み合わせ、二段構えでセキュリティ対策を行うという考え方に変化しています。
テレワークの普及
新型コロナウイルス感染症の拡大や働き方改革の推進によって、多くの企業でテレワークが普及しています。完全テレワークでなくても、出社とテレワークを組み合わせて導入する企業もあり、オフィス以外で働くことが増えてきました。
このようにオフィス以外で仕事をする場合には、社外のネットワークを使う必要がありますが、デバイスに対するセキュリティ対策をしていないと、ネットワーク経由で脅威が侵入してくる可能性があります。そこでEDRが注目されているのです。
EDRの機能
EDRにはさまざまな機能があります。主な機能を紹介します。
1.サイバー攻撃の検知
エンドポイントのログデータを分析し、悪意のある活動がないかを確認。悪意のある動きを検知した際は、マルウェアの攻撃から保護します。
2.ネットワーク全体の監視と防御
マルウェアの攻撃を検知した場合はEDRがブロック・削除を自動的に行います。エンドポイント端末が社外にある場合も監視の対象に含まれます。
製品によってはマルウェアに変更されたファイルなどを特定してくれるものもあります。
3.攻撃の原因やプロセスの可視化
マルウェア攻撃の原因やマルウェアの行動分析機能もあります。行動の履歴が追えるため、攻撃者の動きがプロセスツリーなどで可視化でき、マルウェア攻撃された原因を特定する際に効率化できます。
4.その他
これまで紹介した機能以外にも、エンドポイント端末への負荷低減できるものなど製品によってさまざまな機能があります。EDR導入の際に欲しい機能があれば、対応する製品がないか探してみると良いでしょう。
EDRなどのエンドポイントセキュリティソフトウェアの市場規模の推移
EDRなどのエンドポイントセキュリティソフトウェアの需要は高まっており、セキュリティソフトウェアの市場の中でも、エンドポイント製品の売り上げが最も大きくなっています。
現在の需要や市場から、サイバー攻撃の対策としてエンドポイントセキュリティが重要視されていることがわかるでしょう。
また、セキュリティの考え方としてゼロトラストも広まってきており、それに関連してエンドポイントセキュリティの需要は今後も高まっていくと考えられています。
EDR導入のメリット
EDRを導入することは企業に大きなメリットをもたらします。
マルウェアの感染状況を検知・分析できる
EDRはエンドポイント内を常時監視しているため、異常を検知したらすぐに、原因や被害状況の分析を行っていきます。その際には管理者へもアラートで通知するため、マルウェアに対する速やかな対応が行うことが可能です。
マルウェアや不正アクセスの侵入経路を特定できる
EDRではログを分析・可視化することで、マルウェアや不正アクセスの痕跡を辿ることができます。そうすることで、どのデバイスから不正侵入したのかを突き止められるため、早急に的確な対処を行えるようになります。
マルウェアの感染拡大を抑えることができる
EDRはマルウェアに感染したデバイスを突き止めるだけではありません。拡大を抑えるための対策も実行していきます。具体的には、マルウェアの感染が発見されたデバイスはネットワークから切り離し、ネットワーク経由で他のデバイスへと被害が広がることを防いでくれます。
テレワークの安全性が高まる
自宅のネットワークはセキュリティ対策が甘いことが多く、従業員の自宅のパソコンやスマートフォンなどのデバイスに対してサイバー攻撃が行われる可能性もあります。しかしEDRなら従業員が自宅や外出先で使用しているデバイスの挙動を把握し、サイバー攻撃を検知することもできます。
EDR導入のデメリット
EDRを導入することで発生するデメリットもあります。
導入コストがかかる
EDRの導入コストはエンドポイントの数に比例します。そのため、パソコンやサーバ、スマートフォン、タブレットといったデバイスが多ければ多いほど、コストがかかってしまいます。
運用にリソースが必要
EDRを導入するときには、そのEDRを運用できるスタッフを確保する必要があります。EDRの運用には高度なスキルや知識が求められますが、そのようなセキュリティ人材を確保できる企業は限られており、多くの企業にとって大きな壁として立ちはだかっています。
EDR製品を選ぶ際の比較ポイントとは?
EDRを導入する際には、以下のようなポイントに気をつけて選ぶようにしましょう。
エンドポイントセキュリティ全体のカバー性は十分か?
未知のマルウェアや、ファイルレス攻撃など最新の脅威をきちんと検知できるどうか、事前に確認しておく必要があるでしょう。また、複数のエンドポイント間でアクティビティを相互に関連付けることで、高精度な脅威検出が可能かどうかも重要な評価ポイントです。
次のような領域にできるだけ多く対応できる製品を選ぶとよいでしょう。
- 脆弱性管理
- ソフトウェア/OSのパッチ管理
- NGAV(次世代型アンチウイルス)への対応
- USBデバイスの制御
- EDR未導入端末の可視化
管理サーバは自社の環境や予算に合わせて用意
ログ監視のためには管理サーバを用意する必要があります。このサーバは、自社にEDR用のサーバを置くタイプとクラウドタイプがあります。自社の環境や予算に合わせて選ぶようにしましょう。
ネットワーク負荷に耐えられるか?
EDRを導入すると、エージェント導入デバイスからログが出力されることでネットワークに負荷がかかります。そのネットワーク負荷がどのくらいなのか事前に確認しておきましょう。
自社のネットワークでは負荷に耐えられなさそうな場合は、別のEDR製品を検討するか、ネットワークを強化する、といった対応が必要になります。導入する製品にある程度目星をつけた段階で、ネットワーク負荷のチェックはしておいた方が良いでしょう。
対応サーバやOSは現在のシステム環境とあっているか?
EDRによって対応しているサーバやOSなどが異なってきます。導入前には必ず、対応しているシステム環境を確認しておきましょう。
機能の詳細を確認したのにサーバやOSが対応していないから導入できない、となってしまうと本末転倒です。ネットワーク負荷と同様に製品選定の初期段階で対応サーバ・OSのチェックはしておきましょう。
他ジャンルのセキュリティとの組み合わせでメリットを最大化!
EDR単体ではなく、EPPなど他ジャンルのセキュリティと組み合わせることで、メリットが最大化します。EDRを導入する際には、他のセキュリティ製品との組み合わせも検討しましょう。
選定に悩む場合は第三者による機能評価を参考に
さまざまなベンダーからEDR製品が販売されており、カタログに掲載されているスペックや製品特徴だけで比較・選定が難しいと感じる場合もあるでしょう。
国内外の調査会社や評価機関が行っている売り上げ・シェア・機能評価などの調査があります。選定に悩む場合は、第三者機関の行っている機能評価などの結果を参考にしてみてはいかがでしょうか。
EDRの導入コスト
EDRを導入する際には導入コストや導入期間も考える必要があります。
費用
EDRの導入費用はデバイス1台あたり年間6,000円程度、月額ではデバイス1台当たり500円程度(SOCサービス含む)の金額が一般的です。ただ、契約端末数によってはボリュームディスカウントがされることが多いので、企業規模によってこの金額も異なってきます。
期間
EDRの導入期間はおおよそ2ヵ月程度です。ただ、多くの拠点へ一度に導入する場合や従業員数が多い場合には、EDRを運用開始するまでの期間がさらに必要となってきます。
セキュリティ対策をするならNECフィールディング
EDRとひと言でいっても、企業ごとに最適化した対策の導入が必要です。NECフィールディングでは、企業のセキュリティ問題を解決する次のようなEDRを用意しています。
EDR Quick Support
マルウェアの迅速な検知・可視化を行い、効果的な事後対応を実現します。高度な専門知識をもつセキュリティアナリストが解析・判断を行い、全国47都道府県にある拠点からのサポートも可能です。
https://solution.fielding.co.jp/service/security/edr_quick_support/
まとめ
サイバー攻撃の高度化に対応するために、パソコンやサーバ、スマートフォン、タブレットなど、エンドポイントのセキュリティ対策を行っていく必要があります。
EDRのポイントや導入費用、導入期間などを確認しながら自社にとって最適な製品を選びましょう。
- 発行元:NECフィールディング編集部
-
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
お問い合わせフォーム:https://solution.fielding.co.jp/contact_form/
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。
あらかじめご了承ください。
関連するセキュリティコラムはこちら
情報セキュリティに関するおすすめ人気記事ランキング
-
- 第1位インシデントとは?意味やアクシデントとの違いをわかりやすく解説
- 近年、重大な事件となる一歩手前の出来事はインシデントと呼ばれています。このインシデントが発生すると、企業にはどのような影響が生じるのでしょうか。本記事では、インシデント管理の重要性やインシデント管理ツールを導入することによるメリットを紹介していきます。
-
- 第2位スパム(迷惑)メールとは?危険性や対策方法まで徹底解説
- 受信者の意向を無視して、一方的に大量に送られてくるスパムメール。単なる迷惑ではなく、情報漏えいやシステムへの不正アクセスのリスクをもたらします。ここでは、スパムメールの基礎知識や被害事例、特に危険なスパムメールについて解説。さらにスパムメールの見分け方と対策方法を取り上げています。
-
- 第3位スパムとは?種類や対処方法について解説!
- スパムに困っている、悩んでいる人は多くいることでしょう。その一方で、スパムとは何か知らない人もいるはずです。そこでこの記事では、スパムとはなにか、言葉の由来やスパムメールの歴史について解説します。また、さまざまあるスパムの種類の解説と、対処法についても紹介します。
NECフィールディングはお客さまのビジネスを支援するITシステムの設計・構築からその後のITシステムの運用・管理・保守までを幅広くサポートします!IT機器・システムはもちろん、それ以外の機器やNEC製品以外の機器(マルチベンダー)の対応も行なっています。
NECフィールディングは、3つの強み(技術力・展開力・ナレッジマネジメント力)を活用し、お客さまの課題や事業プランに合わせて、最適なビジネス環境をお客様と一緒に構築していきます。
全国約400ヵ所にサービス拠点を構えているため、24時間365日、いつでもどこでもスピーディにサービス提供が可能です。ITシステム(ビジネス)のことなら60年以上にわたり、常にお客さまのそばで、お客さまのさまざまな課題を解決してきたNECフィールディングまでご相談ください。
ITシステムの設計・運用・構築 TOP > 私たちのサービス > セキュリティ対策サービス > NECフィールディングのセキュリティ紹介 > 関連記事 > EDRとは何?仕組みや重要性・EPPとの違いを解説
