エンドポイント対策で注目の「EDR」とは?製品比較のポイントも紹介
ここ最近、エンドポイント対策として注目を集めている「EDR」。EDRとはネットワークに接続された端末を継続して監視し、不審な挙動などを管理者に通知する技術のことで、サイバー攻撃などの脅威から守り、安全なセキュリティ環境を維持する上で欠かせません。本記事ではEDRの基礎知識から製品比較のポイントまで詳しく解説します。
企業において、クラウドサービスの活用が進み、リモートワークが定着していくなかで、EDRへの注目が集まっています。EDRは近年、主流になりつつある「ゼロトラスト」と呼ばれるセキュリティ環境のもとで、ネットワークに接続された端末であるエンドポイントを脅威から守るために欠かせない技術です。
本記事では、「EDRとは?」という基礎知識や、なぜEDRの普及が進んでいるのか、EDR製品やソリューションを選ぶ際のポイントなどについて紹介します。
EDRとは?用語の意味や仕組みなどの基礎知識を解説
EDRとは、Endpoint Detection and Responseの頭文字からなる用語で、ネットワークに接続された端末(エンドポイント)を継続して監視し、不審な挙動などを管理者に通知する技術をいいます。通知を受けた管理者は、EDRが収集したログを閲覧・分析できるため、脅威への迅速な対策が可能になります。
一般的に、EDRは、エンドポイントに監視や制御を行うエージェントソフトウェアをインストールすることで、ログを収集します。インストールされたエージェントソフトウェアはエンドポイントの挙動を監視し、外部からの脅威や不審な挙動を管理者に通知します。さらに、疑わしいアクセスやプロセスを遮断するなどの対応も行います。
EDRという用語は、2013年にITリサーチ会社大手の米・ガートナー社が作り出したとされており (※1)、近年になって、EDRは大きな注目を集めるようになりました。
なぜ、EDRによるセキュリティが求められるのか
近年、EDRが注目される背景に、ゼロトラストの浸透があります。ゼロトラストとは、その名の通り、すべてのアクセスを「信頼(Trust)しない」ことを前提にしたセキュリティのあり方のことです。従来型のセキュリティは、ネットワーク内部からの「信頼できるアクセス」と、ネットワークの外部からの「信頼できないアクセス」を分け、その境界でセキュリティ対策を講じるものでした。しかし、ゼロトラストのセキュリティでは、すべてのアクセスを信頼できないものと捉え、ユーザーやデバイスの信頼性を個別に評価します。
こうしたゼロトラストのセキュリティは、標的型攻撃の増加とともに浸透していきました。PCやスマートフォンにウイルスを感染させ、その感染を起点にネットワークに侵入する標的型攻撃は、ネットワークの内部から攻撃を仕掛けてくるため、従来型のセキュリティでは対応することが難しくなってきています。
一方で、クラウドの普及もゼロトラストの浸透を後押ししました。クラウドはネットワークの外部に存在するため、企業はネットワークの外部へのアクセスについても対応しなければなりません。そこで、ネットワークの内部と外部を分けず、すべてのアクセスを個別に評価して、許可するゼロトラストの重要性が説かれるようになりました。
そして、ゼロトラストを実現する技術として、EDRに注目が集まることになります。EDRは、エンドポイントへの侵入を検知し、攻撃者に対する迅速な対策を可能にするため、ゼロトラストと親和性が非常に高い技術です。こうしたなかで、多くの企業が自社のセキュリティソリューションとしてEDRを採用するようになりました。
おすすめ記事:セキュリティの現状を知る - 果たして“性悪説(ゼロトラスト)”は正解なのか?
EDRはクラウド型?オンプレミス型?製品を選定する際のポイント
現在、EDRソリューションは数多く存在し、さまざまな特徴を持った製品がリリースされています。こうしたソリューションを選定する際には、どのような点に注意すればよいのでしょうか。以下では、EDRソリューション選定のポイントについて解説します。
クラウド型かオンプレミス型か
クラウド型のソリューションの場合、クラウド上の管理サーバーがエンドポイントを集中管理するため、テレワークなどで社外に持ち出したPCも監視し続けることができます。一方で、独立したネットワークで使用する端末など、インターネットに接続していない端末は、クラウド型では管理できないため、オンプレミス型のソリューションによる監視が必要となります。
ログの保存対象・保存期間・保存場所
ソリューションごとに保存するログの対象や、保存する期間、保存する場所が異なるため、ソリューションの特徴を比較検討する必要があります。例えば、保存期間が短いソリューションの場合、さかのぼって過去のログを閲覧・分析できないこともあるため、十分な保存期間が確保されている製品を選ぶのがポイントです。
インシデント対応
EDRソリューションは、エンドポイントにおける不審な挙動を検知したのち、攻撃者の封じ込めやデータの復旧などの「インシデント対応」を実施します。しかし、インシデント対応の内容はソリューションごとに差異があるため、選定時には複数のソリューションのインシデント対応を比較し、自社に適したソリューションを選ぶようにしましょう。
エンドポイントを監視するITサービスも登場、最新の脅威を学び、セキュリティへの理解を深める
EDRソリューションに限らず、近年では、ユーザーの挙動を監視し、不正アクセスなどを検出する機能を備えたITサービスが増えつつあります。例えば、ドキュサインの電子署名には合意・契約文書やそのプロセスに関する安全性に係る要因を可視化し、重要な文書を脅威から守る「Docusign Monitor」があり、エンドポイントにおけるセキュリティを強化することができます。
ゼロトラストの浸透など、セキュリティの進化の裏には、サイバー攻撃をはじめとした脅威の存在があります。セキュリティと脅威は、常に互いを超える形で進化を続けています。最新のセキュリティについて学ぶためには、最新の脅威について理解することがポイントと言えそうです。
おすすめ記事:巧妙化するサイバー攻撃。最近多い手口とは?
出典:
※1 Gartner Named: Endpoint Threat Detection & Response(July 26, 2013)