情報セキュリティに必要なEDRとは？ウイルス対策ソフトとの違いやメリット・デメリットを紹介

• 2024.3.29 (金)
  Posted by NTT東日本

サイバー攻撃から企業の端末を守りたいと考えている情報セキュリティ担当者は多いのではないのでしょうか。攻撃がきっかけで、情報が漏れてしまうのは不安ですよね。

最近はテレワークによるネットワークの複雑化やIT技術の進歩から、サイバー攻撃のリスクが増加しています。そこで本記事では、情報セキュリティソリューションの1つである「EDR」について解説します。EDRのメリット・デメリットや、選ぶポイントを解説したりしている内容になっているので、ぜひ最後までお読みください。

EDR(Endpoint Detection and Response)とは、使用している端末(エンドポイント)などの不審な動きを検知し、対処を支援するソリューションのことを指します。

端末の種類は、以下のようなものです。

• パソコン
• サーバー
• スマートフォン
• タブレット

具体的な仕組みは、端末の使用状況やアクセス内容を監視します。その後、不審な動きがあった場合は、管理者に通知されます。EDRからログを取得して分析を行い、結果を通知するのみならず、不審な動きや攻撃に対する対策機能がついているのが基本です。

サイバー攻撃の手口が変化していく中で、感染の拡大を防ぐ重要な手段として注目されているのがEDRです。既存のセキュリティサービスでは、不正なアクセスを完全には防げません。攻撃を防御するだけでなく、侵入された後に素早く対応し被害の拡大を防げるのが注目される理由です。

「EDRができることを具体的に知りたい！」と思っている方もいるかもしれません。EDRの機能は、大まかに分けると以下の4つです。

• 監視や検知の機能
• 隔離の機能
• 分析・調査の機能
• 復旧の機能

ここでは上記の機能とその仕組みを、それぞれ説明します。EDRでできることを知れば、自社に導入する際も検討しやすくなるため、ぜひご覧ください。

端末(エンドポイント)の状態をリアルタイムで監視し、ウイルスやマルウェアが端末上で異常な操作をしている場合は自動で検知する機能です。

監視内容はいくつかあり、以下の通りです。

• ネットワークの接続
• 構成の変更
• ファイルやデータのダウンロード
• ファイルやデータの転送

ログを監視し、既知の脅威や不審な挙動を見つけた時点で、リアルタイムに特定します。特定する内容は、過去に集積されたデータやセキュリティポリシーの基準と比べて、不審な挙動であるものであり、マルウェアなどの脅威を発見します。

ウイルス・マルウェアなどによる操作を検知した場合は、感染した端末からネットワークを遮断するなどといった機能です。EDRが自動的に実行するのは、以下の通りです。

• 検知内容を管理者へ通知
• ネットワークから端末を切断
• ネットワークへのログオフ
• システム・エンドポイントプロセスを停止
• 不審なファイルの実行を防止
• アプリケーションを非アクティブ化

これらが自動的に行われることにより、脅威が発見されても素早い対応が可能です。また、被害を最小限にできます。

監視・検知機能により脅威を検知したのち、ログをもとに調査し分析する機能です。システムやデータベースから、感染状況を分析します。調査の内容は、以下の通りです。

• 感染が確認された端末
• 感染内容
• 被害の状態
• 侵入経路

状況の分析をレポートにし、管理者に通知することで分析・調査は終了します。

調査・分析ののちに行うのは、端末の復旧です。これにより、端末に残る脅威を排除できます。具体的には、以下の通りです。

• 危険なファイルを破壊し削除
• 壊れた構成・データ・アプリケーション・ファイルなどの復元
• アップデートやパッチ適用による脆弱性の排除
• 検出ルールの更新

不審な動きが特定できれば、担当者は最低限の作業で復旧できます。

EDRとウイルス対策ソフトを混同してしまう場合が少なくありません。ここでは、違いについてご紹介します。

実際にセキュリティ製品の導入を検討する場合に、自社にとって必要な製品を再確認できます。ぜひ、参考にしてください。

ウイルス対策ソフトはEPP（Endpoint Protection Platform)とも呼ばれ、マルウェアの端末への侵入を防止します。

具体的には、ネットワークへ侵入したマルウェアを検知し、自動で分析します。そして感染する前に除去したり、プログラムの実行を防止する機能があります。

特徴は、既に知られているマルウェアのみを防止できる点です。未知のマルウェアを検出できないという弱点を持ちます。

EDRとウイルス対策ソフトの違いは、前述の未知のマルウェアを検出できるかどうか、そして感染前に対策するか、感染後に対策するかです。

EDRは、ウイルス対策ソフトで防ぎきれなかったマルウェアの調査や除去を行うことができます。

ウイルス対策ソフトのみでも問題ない、と思っている方も少なくありません。なぜEDRは、企業にとって必要なのでしょうか。ここでは理由を、2つ紹介します。

• 新型マルウェアはウイルス対策ソフトをくぐり抜けるから
• テレワークの普及によりサイバー攻撃のリスクが増加しているから

EDRを導入しないリスクは高いと言えるため、導入の意味を知りたい方はぜひご覧ください。

最新のマルウェアは、ウイルス対策ソフトに検知されないように潜伏しています。すり抜ける手段を「ファイルレス攻撃」と言います。

何らかの方法でソフトウェアをインストールさせ、攻撃を実行します。ディスクには痕跡を残さず、メモリ内だけに存在し攻撃する手段です。

よって、エンドポイントを監視し検知するEDRが必要となります。

テレワークの普及により個人端末を利用する機会が増えたことも、理由の1つに挙げられます。

管理できない個人端末や、VPN端末を狙った攻撃に対策できないこともあり、企業による情報漏れやセキュリティリスクが増加しました。

EDRはテレワーク下の個人端末に導入できるため、脅威から身を守れるという特徴があります。テレワークの普及で増加したリスクに対応できるEDRが必要、といえるでしょう。

EDRを企業に導入するメリットは、以下の2点です。

• ウイルスの感染状況を迅速に検知・分析できる
• ウイルスの感染拡大を抑えられる

メリットを知ることで、情報セキュリティ対策への理解が進むはずです。さっそく、見ていきましょう。

EDRを導入すると、感染してしまっても早期発見し対策ができます。履歴を分析し、感染原因や再発防止策を考えられるのがメリットです。管理者へ通知も来るので、速やかに対処が可能です。

早期発見ができないと事態は深刻になり、顧客情報や機密情報の漏えいなどでお客さま・取引先に被害が及んだり、社会的信用を落としたりします。

早く探知でき、対策を打てるというのは、企業にとってメリットです。

ウイルス感染被害の拡大を抑えられるのも、メリットの1つです。例えば、ウイルスに感染している端末(エンドポイント)をネットワークから切り離すといった処置ができます。この対策によって社内ネットワークを通じ、他の端末に攻撃をするといった被害を防げます。

また、危険なファイルを削除して、プログラムの実行を強制的に停止します。端末を襲撃する目的は、端末にあるデータを盗むことです。強制的にプログラム停止の処置を行うことで、情報の流出を防ぎ、被害の拡大も防げます。

EDRのデメリットを、以下の2点から紹介します。

• 導入にコストがかかる
• 運用にリソースを割く必要がある

EDRの導入を決めてから「知っておくべきだった」と頭を抱えないためにも、知っておくべき情報でしょう。参考にしてください。

EDRの導入コストは、端末の数に比例します。例えばパソコンやスマートフォンなど、組織でEDRを使用したい端末が多いほど、コストがかかります。

費用は、製品によってさまざまです。例えば、EDR製品を1つの端末で導入すれば月額500円(税込)で、端末が100台であれば、月額50,000円(税込)というように決定します。この例の場合、年額に換算すると600,000円(税込)のコストがかかります。

EDR導入にどれくらいのコストをかけられるのかを、会社内で確認することが必要です。

EDRを導入する場合は、運用できるスタッフの人材を確保する必要があります。EDRの運用の課題は、アラートが発生した場合の対応が難しいことです。対応には攻撃に関する知識や、経験が問われます。

EDR運用に精通する人材が社内にいない場合は、業者に委託することも考えると良いでしょう。

また、EDRで情報セキュリティを強化すると、アラート数が多く管理者の時間を多くとることになります。そして、他の業務にかけていた時間を削ることになります。また、攻撃は昼夜を問いません。24時間いつでも対応できる運用体制を整える必要があり、準備が必要な点です。

この章では、EDR製品を選ぶポイントを4つ紹介します。ポイントは、以下の通りです。

• 利用目的
• 検知能力の方法や精度の高さ
• 導入コスト
• 管理サーバーのタイプ

このポイントを押さえることで、損なくEDRを導入できるでしょう。これらを参考に、検討してみてください。

現在会社ではどのような情報セキュリティ対策を行っていて、EDR製品をどのように使うのか位置づけを明確に行いましょう。

例えば、EDR製品の中には、EDRに特化したものやウイルス対策ソフトとセットのものがあります。

NTT東日本の「おまかせアンチウイルスEDRプラス」であれば、ウイルス対策ソフトとEDRがセットになっています。さまざまな経路から侵入するウイルスやランサムウェア等の感染を端末上で防ぎ、感染時の早期発見・早期対応まで対応可能です。

ウイルス対策ソフト、EDRをそれぞれ導入する場合に比べ、コストを抑えることができ、NTT東日本のセキュリティ人材によるサポートもご利用いただけます。

EDR導入の際には、自社の利用目的と照らし合わせて検討する必要があります。

• 

  
  複数端末のセキュリティを一括管理「おまかせアンチウイルスEDRプラス」
  
  「おまかせアンチウイルスEDRプラス」の資料を無料でダウンロードいただけます。

日々巧妙に変化していくマルウェアは、十分に集積された知識や検知ルールがなければ防御できません。集められたデータが「実際にどのように検知へ活用できるのか？」といった検知の方法は、EDRの選定する際に見ておくべきです。

また、検知の精度のレベルも、製品を選定する場合のポイントになります。常に最新のマルウェアを検知する必要があるため、その収集したデータを未知の脅威の検知に活用できる製品か？という点で選びましょう。

性能の差による、料金コストを把握することも大切です。安いけれども、性能が低すぎるといったことを防ぐためです。予算に合わせて、性能も遜色ないものを選びましょう。

また、EDRの管理・運用は必須です。管理コストが、どの程度かかるかも見積もりましょう。検知ルールや監視結果の解析などを自動化できるかなどをあらかじめ調査すると、コストを把握できます。

ログを監視する管理サーバーには「クラウドタイプ」と「物理的に置くタイプ」の2種類あります。

クラウドタイプは、導入費用と管理・運用のコストが減る場合があるのがメリットです。社内でログを管理したい場合は、物理的なサーバーを選ぶと良いでしょう。

自社の希望に沿って、サーバーのタイプを選ぶ必要があります。

今回の記事では、EDRの概要や機能を紹介しました。最近はテレワークも多くなり、個人端末が攻撃される機会が多いと言えます。そういった脅威には、EDR製品を導入して対策を打つのも、1つの手でしょう。

EDRの運用には、監視体制の構築や、セキュリティ人材の確保などが必要です。ただ、中小企業が自社のみでこのような運用体制を構築するのはハードルが高いでしょう。

NTT東日本は、ウイルス対策ソフトとEDRの両方の機能を備え、セキュリティに関する運用も任せられるサービス「おまかせアンチウイルスEDRプラス」を提供中です。一元的なセキュリティ対策が可能である、NTT東日本のサービスをぜひご検討ください。

• 

  
  複数端末のセキュリティを一括管理「おまかせアンチウイルスEDRプラス」
  
  「おまかせアンチウイルスEDRプラス」の資料を無料でダウンロードいただけます。

ページの先頭へ

おまかせアンチウイルスEDRプラス・おまかせアンチウイルスのトップに戻る

• 
  ランサムウェアの対策とは。感染した場合の対処を徹底解説
  ランサムウェアに感染しても金銭の要求には応じないようにしましょう。金銭を支払ってもデータが復元できる...
  続きを読む
• 
  拡大するランサムウェアの脅威とは。知っておくべき手口や対策
  ランサムウェアはマルウェアの一種で、感染するとデータを暗号化、その解除を見返りに金銭の要求を行う攻撃...
  続きを読む
• 
  増加するフィッシング詐欺とは？注意するべきポイントを徹底解説
  フィッシング詐欺は実在する企業や公的機関になりすまして、メールやSMSを送信することで、受信者を偽の...
  続きを読む

• おまかせアンチウイルスEDRプラス・おまかせアンチウイルス コラム一覧へ