サイバー攻撃の高度化・巧妙化に対応するため、セキュリティを強化の一貫にEDR製品の導入を検討している、IT部門のマネージャーへ。EDR製品の特徴や機能、タイプ、選び方とともに、おすすめの製品をご紹介します。
EDR(Endpoint Detection and Response)とは、PCやスマホ、サーバーといったネットワークに接続される端末、つまりエンドポイントを監視し、脅威への検知・対応を行うセキュリティシステムのことです。近年、セキュリティリスクの複雑化に伴って、多くの企業でEDR製品の導入が進められています。
一般的なアンチウイルスソフト(EPP)はシグネチャーベース型といい、あらかじめ登録されたマルウェアの特徴や攻撃パターンをもとに脅威を検知します。そのため、未知のマルウェアやユーザーによる不正アクセスには反応できないという弱点がありました。
一方、EDRは不審な動作(振る舞い)の有無で脅威を検出するため、EPPの防御をすり抜けたマルウェアや不正アクセスの検知が可能です。復旧から調査・分析まで一貫して対応し、企業のセキュリティ対策を強固に支援します。
EDR以外のセキュリティ対策も視野に入れたい場合は、こちらの記事をご参照ください。代表的なセキュリティ対策の対象や概要をまとめた一覧表をご紹介しています。
| リアルタイム監視 | 対象のPCやサーバーにエージェントを設置することで、ファイル操作やネットワーク通信などを常時監視する機能。内部からの不正アクセス防止にも有効だ |
|---|---|
| 脅威(インシデント)の検出 | 挙動の異常や既知の攻撃パターンから、脅威の兆候を検出する機能。未知のマルウェアやファイルレス攻撃も不審な振る舞いから検知し、早期の対応をサポートする |
| アラート通知 | 不審な挙動や脅威を検知した際に、管理者やユーザーへリアルタイムで警告・通知する機能 |
| 脅威の封じ込め | 脅威を検知した後、他の端末への影響を避けるため、感染端末をネットワークや外部との通信から遮断する機能 |
| 復旧対応(ロールバック) | 感染端末を正常な状態に戻す機能。マルウェアの削除や、システム設定の修復、ネットワークへの再接続を支援する |
| 調査・分析(フォレンジック) | ファイル操作やレジストリ変更などのログを収集・分析し、攻撃の侵入経路や被害範囲、攻撃手法を特定する機能 |
EDR製品は、大きく以下の3つのタイプに分類できます。
XDR(Extended Detection and Response)とは、EDRの検知・対応範囲を端末以外にも広げたセキュリティシステムのことです。エンドポイントだけでなく、クラウド、メール、サーバーなど自社のセキュリティをトータルで強化したい場合には、XDRにも対応できるタイプがおすすめです。
たとえば「CrowdStrike Falcon Insight XDR 」は、EDRとXDRを統合した製品で、すべての主要な攻撃対象領域をカバー。エンドポイントで何が起こっているかを包括的に可視化したうえで、メールやクラウド、ネットワーク上で不審な振る舞いがないかも一括でチェックできます。
エンドポイントに特化して脅威の検知・対応を行いたい場合には、EDRに特化した製品がおすすめ。導入ハードルが低く、シンプルな構成で基本的なセキュリティ強化を実現できます。IT資源や専門人材が潤沢ではない企業や、まずは最小限の投資でEDRを導入したい中堅・中小企業などにおすすめです。
たとえば、「Microsoft Defender for Endpoint」は、Windows環境に標準で組み込まれているEDR製品。基本的なマルウェア対策や脅威検知、インシデント対応などエンドポイント保護に必要な機能を備え、価格や運用負担を抑えつつ、端末ごとのセキュリティを強化できます。
EDRを運用するには、検知した兆候の確認・分析や、ファイル隔離・端末隔離など、専門的な知識が求められます。こうした運用を外部の専門家に任せたい場合には、マネージドサービスに対応するタイプがおすすめ。セキュリティ人材が不足している企業でも、高度なセキュリティを確保できます。
たとえば、「KeepEye」はEDRの導入から運用まで一体化したマネージドサービスを提供。セキュリティアナリストによる24時間365日の監視や、デイリー・マンスリーレポート報告、製品仕様・アラートに関するQ&Aによって、専門家不在の状況でも柔軟な対応が可能です。
本記事ではEDRとマネージドサービスが一体となったサービスを紹介していますが、システムインテグレーターなどの製品取扱会社が、別途マネージドサービスを提供している場合もあります。
EDR製品の比較ポイントを4つ紹介します。製品によって対応範囲が異なるため、事前に確認しておくことでより自社に合った製品を選びやすくなります。
EDRは脅威を検知するだけでなく、フォレンジックによって攻撃の経路、影響範囲、被害状況などを特定します。詳細なログがあると、証拠保全や再発防止策にも役立つため、調査・分析機能の充実度は重要な比較ポイントとなります。
たとえば「Falcon Insight」は、エンドポイントの振る舞いの詳細をすべて記録。更に、脅威インテリジェンス及びコンテキストデータをグラフなどで表示する「インシデントワークベンチ機能」によって、攻撃の全体像を視覚的に把握できます。
また、「Cybereason」は、検出されたインシデントについて、「いつ」「どこで」「何が」起きたかを自動で解析。影響する端末とユーザーを特定し、不審な動作の履歴をタイムライン形式で表示します。
攻撃を防ぐために、端末に対してどのような制御ができるのか確認しましょう。アクセス遮断やUSBメモリの接続ブロックなど、制限したい範囲・端末に対応している製品を選ぶことが重要です。また、端末制御は高度なセキュリティを実現する一方で、シームレスなアクセスを阻害し、業務の効率を下げる恐れも。不正アクセスの検知精度や判断基準も確認しましょう。
たとえば「Sophos Intercept X Endpoint Security」は、Webサイトの通信ブロック、アプリのブロック、USBメモリなどの周辺機器の接続ブロックなど、幅広い範囲を防御可能。感染率や経過時間、ソースに基づいてダウンロードファイルの危険度を判定し、危険度の高いファイルのみブロックを促すため、業務の邪魔になりにくいのが特徴です。
脅威を検知した後、どの程度まで自動で復旧できるかも重要です。サイバー攻撃のプロセス(キルチェーン)の遮断や自動隔離に留まらず、被害を受けた端末を自動で元の状態に戻す(ロールバック)機能があれば、被害を最小限にとどめられます。
たとえば「ThreatDown EDR」は、削除・変更されたファイルを、攻撃から最大7日間で復元。マルウェアの痕跡や設定変更をすべてもとに戻し、デバイスを正常な状態に復旧します。また、「Sentinel One」はほとんど自動、またはワンクリックでロールバックが可能です。
ほとんどのサービスがWindows、Windows Server、mac、LinuxといったOSに対応しています。しかし、スマホも監視したい場合は、AndroidやiOSへの対応可否を確認する必要があります。
たとえば「Sophos Intercept X Endpoint Security」は、WindowsやMacのほかに、AndroidやiOSにも対応しています。ただし、OSによって使用できる機能が限られているため、注意が必要です。
(出所:Cybereason EDR公式Webサイト)
数万台規模のエンドポイントに対応可能なEDR製品。ネットワーク内の不審な振る舞いを常に監視し、クラウド上のAIエンジン「Hunting Engine」がログを分析。蓄積したナレッジと照らし合わせて、異常な挙動を検出する。対応OSはWindowsやMac、Linux。
検知されたインシデントはタイムライン形式で可視化。何が原因で、どんな過程を経て攻撃されたかひと目で把握できる。影響を受けた端末やユーザー情報を明示することで、迅速な対応を可能に。更に、同社提供の「Cybereason XDR」を利用すれば、エンドポイントにとどまらず、IT環境全体の防御も実現できる。
(出所:Sophos Intercept X Endpoint Security公式Webサイト)
AI を活用したエンドポイントセキュリティソリューション。危険なウェブサイトやダウンロードファイル、周辺機器などをブロックし、マルウェアの侵入を事前に防ぐ。
強力なEDR・XDR機能に加えて、クラウドデータリポジトリ「Sophos Data Lake」を提供。これらを利用することで、エンドポイント、ネットワーク、メール、クラウドなど広範囲を監視できる。検出した脅威はAIによって優先順位づけしたうえで、疑わしいプロセスの停止や、デバイスの再起動、ファイルの削除などを行う。感染してしまったデバイスはネットワークから隔離できるため、脅威を封じ込めて被害の拡大を防ぐ。
Windows、mac、Linuxはもちろん、AndroidとiOSにも対応している。
(出所:CrowdStrike Falcon Insight XDR公式Webサイト)
複数のセキュリティ領域を統合的に監視・分析できるEDRソリューション。エンドポイントのログに加え、クラウド・ネットワークなどのデータを横断的に可視化し、攻撃の全体像を迅速に把握できる。特に、脅威のスコア化や優先順位づけといった分析支援機能に優れており、セキュリティチームの負荷軽減に寄与する。
また、リアルタイムレスポンス機能を用いれば、感染端末の隔離や危険なプロセスの停止といった対応も可能に。更に、独自の生成AI「Charlotte AI Investigator」が、収集した情報の関連性を自動で分析。専門的なスキル・知識がなくても、状況の把握や対応が行えるよう支援する。
(出所:SentinelOne公式Webサイト)
AIを活用した、自律型のエンドポイントセキュリティプラットフォーム。各端末・クラウド上に設置したエージェントが、マルウェアの検知から隔離、修復、復元まで一元的に実行できるのが強み。エンドポイントはもちろん、コンテナやクラウドワークロード、IoTデバイス全体において、攻撃の予防・検知・対応や脅威ハンティングを行う。
AI技術によって、従来のシグネチャベース更新や定期的なスキャンは不要に。不審な振る舞いをリアルタイムに検出し、ファイルレス攻撃などの高度な脅威も特定・阻止する。更に、ワンクリック修復及びロールバック機能により、削除・変更といった攻撃を受けても迅速に復元できる。
(出所:Symantec Endpoint Security公式Webサイト)
エンドポイント全体の脅威検知に必要な機能を、オールインワンで提供する総合セキュリティ製品。エンドポイントにおけるマルウェア検知、アプリケーション制御、モバイルデバイスの制御、セキュリティ侵害の評価など、多岐にわたる機能を一元的に提供する。
攻撃者に対し偽のサーバー情報とID情報を見せ、アクティブディレクトリの特定を防ぐ機能など、独自のセキュリティシステムを搭載。PC用の主要OSはもちろん、AndroidやiOSに対応しているほか、オンプレミスとクラウド、ハイブリッドのいずれの環境でも導入できるなど、汎用性の高さに強みを持つ。
(出所:Microsoft Defender for Endpoint公式Webサイト)
エンタープライズ向けのエンドポイントセキュリティソリューション。エンドポイントでの脅威検出と対応、調査と修復の自動化、脆弱性管理、攻撃面の縮小など、多層的な防御機能を備える。Microsoftが蓄積した脅威パターンに関するナレッジと機械学習を活用することで、未知の脅威や高度な攻撃手法にも迅速に対応できる。 AndroidやiOS、IoTデバイスまで、幅広いプラットフォームに対応し、多様なIT環境を防御できるのも強み
更に、セキュリティに特化したAI「Microsoft Security Copilot」を活用すれば、インシデントの調査や優先順位づけが迅速かつ効果的に行えるようになる。
(出所:LANSCOPE サイバープロテクション公式Webサイト)
AIを活用した次世代型のエンドポイントセキュリティ製品。EDRき能を備える「Aurora Focus」と、次世代ウイルス対策ソフトである「Deep Instinct」の2種類が用意されており、ニーズに合ったものを選べる。
「Aurora Focus」では、マルウェアが作動する前に隔離・対策ができる「予測防御」という検知方法を採用。知のマルウェアやゼロデイ攻撃、ランサムウェアに対しても高い防御力を発揮する。クラウド型のため、分散拠点のセキュリティも一元管理できる。更に、端末に潜む脅威を見つけて、関連するログを自動で紐付けし、攻撃の流れを可視化することも可能。マルウェアの流入経路や感染原因の特定が容易になるため、再発防止策の立案がスムーズに。
(出所:HP Wolf Pro Security公式Webサイト)
次世代のウイルス対策機能に加えて、フィッシング対策や脅威の封じ込めを含む包括的なエンドポイントセキュリティ。物理的なPCの機能をエミュレートするマイクロ仮想マシンを活用することで、1台の端末内でインターネットと社内ネットワークのアクセス環境の分離が可能。流入した脅威はマイクロ仮想マシンに封じ込められるため、ほかの端末や社内ネットワークを守ることができる。また、添付ファイルやリンクを安心して開けるため、ユーザーの生産性を損なうことなく高度な防御を実現する。
「HP Wolf Security Controller」を利用すれば、PC上の不審な振る舞いを検知して、セキュリティアラートによって通知。必要に応じて脅威に関する分析結果を確認できるため、管理者による監視が不要となる。
(出所:ThreatDown EDR公式Webサイト)
業務の継続性を重視しつつ、先進的な脅威に対応するエンドポイントセキュリティソリューション。AIと機械学習を活用した多層防御により、脅威の予防・検出をリアルタイムで実行。修復機能にも長けており、悪意のある暗号化・削除・変更といった攻撃をロールバックする。攻撃から最大7日間のデータ復元が可能だ。
また、ネットワーク・プロセス・デスクトップの3段階での隔離レベルを設定でき、ログインをブロックしつつ、分析のためにデバイスをオンライン状態に保つといったこともできる。これらの機能により、業務への影響を最小限に抑えながら、高度なセキュリティを実現する。
(出所:Acronis Cyber Protect公式Webサイト)
データ保護・サイバーセキュリティ・エンドポイント管理を一体化した、統合型セキュリティソリューション。複数のツールを使い分けることなく、単一のプラットフォームで包括的なセキュリティ対策とデータ保護を実現できる。
AIを活用したマルウェア対策、バックアップ、脆弱性診断、パッチ管理、URLフィルタリングなど、多岐にわたるセキュリティ機能を搭載。未知の脅威やランサムウェア攻撃に対しても、高い防御力を発揮する。また、WindowsやAndroid、iOSなどの多様なOS・デバイスに対応できるのも魅力。
(出所:KeepEye公式Webサイト)
マネージドサービスと統合された、国産のEDRソリューション。エージェントによる高度な振る舞い検知で、未知のマルウェアや不審な挙動を察知し、即座に防御・隔離する。ログの保存により詳細な分析が可能。更にオプションで、証拠保全に役立つマルウェア感染時の画面キャプチャ保存にも対応する。
同社のアナリストが24時間365日体制で監視・分析を行い、重大なアラートが発生した際は感染端末の隔離や対処までをカバー。過検知が発生した場合も、アナリストが分析を行い、必要に応じてファイルの復元やホワイトリストへの登録をサポートするなど、マネージドサービスが充実している。
(出所:Huntress Managed EDR公式Webサイト)
人間主導のSOCによる、24時間365日体制の監視・対応が強みのエンドポイント検知・対応ソリューション。経験豊富なエリート脅威ハンターのチームがシステムを管理しており、運用面でも支援を受けられる。
正規アプリケーションなどに設置されたバックドアの検知や、攻撃者の行動分析、ランサムウェアの早期検出など、見落としがちな脅威を発見するための高度な機能を提供。検知された脅威や解決済みのインシデントは、管理用ダッシュボードから把握できる。また、同サービスが割り出した平均値と比較して、自社のセキュリティ環境を客観的に評価することも可能。
EDR製品は、従来のアンチウイルスソフトでは対応できなかった、未知のマルウェアにも対抗できるセキュリティツールです。不自然な挙動をいち早く検知し、感染したデバイスを迅速に隔離することで、被害の拡大を防止。更に、攻撃を受けた端末の修復までカバーしているサービスもあります。
EDR製品は、主に以下の3つのタイプに分けられます。
また、以下のポイントを比較することで、自社に合った製品を選びやすくなります。
EDR製品を導入することで、昨今の巧妙化したサイバー攻撃にも柔軟な対応が可能に。継続的な攻撃パターンの調査・分析によって再感染を防ぎ、自社のセキュリティを強固に保ち続けられます。本記事を参考にぜひEDR製品の導入を検討してみてください。
記事をシェア
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。
