EDRのITreview Grid

 EDR(Endpoint Detection and Response)とは、エンドポイント端末(利用者端末)向けのセキュリティ・ソリューションだ。エンドポイントでの監視を強化し、端末内に侵入したランサムウェアや標的型攻撃などのサイバー攻撃を検出することが目的だ。エンドポイント端末から収集した動作情報(ファイルやプロセスの挙動/レジストリの変更/ネットワーク通信の情報/その他)の解析や分析などを行い、挙動の異常からマルウェア感染や侵入を検知。エンドポイント端末の隔離やシステム停止などを行うことで、重大な社内システムへの影響を防ぐ。「ウイルス感染を前提としたセキュリティ対策」実現を支援するソリューションである。


EDRの導入効果


感染を前提とした対策が可能

 従来型エンドポイントセキュリティEPP(Endpoint Protection Platform)製品は、エンドポイント端末の感染防止を目的としている。しかし、最近のサイバー攻撃は標的型攻撃や正規OS機能の乗っ取りなどをはじめ攻撃が巧妙化しており、全ての攻撃を水際で完全に防御することは難しい。このため、感染を前提とした対策が主流の考え方となっており、EDRはこれを実現することが可能なツールだ。

セキュリティ侵害の原因特定

 EDRでは、エンドポイント端末の挙動を監視してログ記録を蓄積しながら、通常の操作ではあり得ないおかしな動作の兆候から不審なプログラムやプロセスを検知。これらの疑わしいデータをさらに詳細に解析や分析、調査を行い、感染端末や侵入経路、被害状況などを可視化することができる。

システム全体での脅威把握(インシデント支援)

 EPPなどの従来型エンドポイントセキュリティツールでは、個々のエンドポイント端末で脅威の検知と防御を行うのに対して、EDRでは全てのエンドポイント(システム全体)の挙動を把握することが可能。1つのエンドポイントで感染を検知した場合に、感染範囲を確認し被害拡大を防ぐと共に、特定した原因への対策を全てのエンドポイントに適用することで二次被害の防止が可能となる。

インシデント発生時のコスト削減

 エンドポイントでインシデントが発生すると、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲、ステークホルダーへの状況説明や対応策の説明など、やらなければならないことが多い。場合によってはこうした対応ができないケースもある。EDRを導入することにより、エンドポイントでの動作が記録されるので証拠保全につながり、解析・分析による原因特定、封じ込めなどを迅速に行うことができるので、負担や時間的コスト、経営的損失を大幅に軽減できる。


対象ユーザー


導入検討ユーザー
 ・複雑巧妙化するランサムウェアや標的型攻撃などのサイバーリスクへの対策を検討したいIT部門やセキュリティ担当者、経営者

利用ユーザー
 ・社内システムの運用・サポートを担うIT部門やセキュリティ担当者
 ・エンドポイント端末を使う全ての社内ユーザー


機能一覧


エンドポイント監視(モニタリング)機能

機能 解説
端末の挙動記録 エンドポイント端末にセンサーを常駐させ、ファイル操作やネットワーク接続、レジストリ情報、イベントログ、各種プロセスといった端末の動作情報を監視して記録する


解析・調査機能

機能 解説
クラウド脅威情報基盤による脅威分析 EDR提供ベンダーが提供するクラウド上のインテリジェントプラットフォームによる脅威の分析を行う
マルウェア解析 エンドポイントのモニタリングにより蓄積したログをアンチマルウェアエンジンにより解析し、マルウェアの可能性がある挙動を検知する
不正プログラムや不正侵入の解析 YARA(不正プログラムの特定・分類に用いられるオープンソースのツール)やOpen IOC(IOC:Indicators of Compromise)などのルールに基づいた調査を行い、不正プログラムや侵入の痕跡を発見する
インシデント詳細解析 さまざまな解析機能により検知された疑わしいプログラムやプロセスを、さらに詳細に解析する。例えば、サンドボックス機能などが実装されている


検知・防御機能

機能 解説
マルウェア検知 エンドポイント端末(PCなど)に対して、マルウェアとして報告されているファイルやハッシュ値に基づき検索を行うことで、マルウェアが存在するPCなどを特定する
アラート/警告 エンドポイント端末でのマルウェアの発生、感染や侵入などを検知した場合に、ユーザーや管理者に警告する
ファイアウォール 外部からの攻撃やマルウェアの脅威からエンドポイント端末を守る
セキュリティレベルの確認 エンドポイント端末(PCなど)にインストールされているアプリケーション情報を取得し、バージョンアップやパッチ更新が行われているかどうかを監視することで、端末のセキュリティレベルを確認する
ソフト自動更新 ビジネスで使われることの多い代表的なアプリケーションソフトを、バックグラウンド処理により強制的に最新版に更新する


インシデント対策機能

機能 解説
システム制御 感染や侵入が検知された場合、インシデントが解決されるまでネットワークの切断やアプリケーションソフトの非アクティブ化などを行う
プロセスの自動停止 マルウェアの疑いがある挙動を検知した場合に、該当するプロセスを自動停止する
プロセス停止 マルウェアと疑われるプロセスが動作しているPCを、管理者によりリモートで停止できる


その他機能

機能 解説
管理コンソール 利用者端末(エンドポイント)のログ情報を解析・分析した結果などを、Web画面などで一元管理する
インシデントレポート ネットワークやインフラに関連する傾向と脆弱(ぜいじゃく)性のレポートを作成する。インシデント対策に効果的


選定のポイント


ツールごとの違い(製品思想、機能)

 不信プログラムなどの検知には、Open IOCやYARAルールなどが使用される点では各製品ともほぼ同じといえるが、各社の技術とノウハウが蓄積された解析を行うインテリジェント(解析エンジン)機能の面で違いがある。また、エンドポイントの挙動監視と解析・調査に特化した製品や、アンチウイルスやネットワークセンサー、ファイアウォールなどの防御系機能と一体化したエンドポイント向けセキュリティ・プラットフォームのような製品がある。

価格形態・契約形態

 EDR製品の価格や契約形態はさまざまだが、エンドポイント端末の台数(ライセンス数)に応じた価格設定が一般的で、1年間など期間ごとの契約更新が必要な製品やサービスが多い。また、ライセンス数が増えると割引料金が適用されるボリュームディスカウントが採用されている製品も見られる。

導入形態

 最新のEDRソリューションでは、リアルタイムで分析を行うクラウド脅威情報基盤との連携が主流となっている。このため、企業内に構築したシステム(オンプレミス)とクラウドとを併用した導入スタイルが一般的だ。しかし、社内のコンプライアンス上のルールにより外部への情報送信に制限がある場合でも、システムを全て自社内に保有するオンプレミスでの構築が可能なソリューションもある。

導入前に自社で準備すべきこと

 EDRを導入するだけで全ての脅威から企業を守れるというわけではない。EDRは社内システムに重大な影響を与える感染や侵入などのインシデントをエンドポイント端末で検知することを支援するものであり、実際に検知した後の対応や判断のプロセス、それを実行する体制を確立しておくこと必要だ。できればインシデントレポートを見て対策を講じるスキルがある人材を、少なくともレポートなどの意味を理解できる人材を登用したり育成したりすることが重要だ。


システム要件・他製品との連携方法


一般的な導入方法・導入環境

 EDRは、エンドポイント向けセキュリティ・ソリューションの1つの機能(モジュール)として実装されることが一般的。すでに導入しているセキュリティシステムのベンダーが提供するEDR製品やサービスをモジュールとして各エンドポイント端末にプラグインイン経由で導入すると負担が少ない。新たにEDRを含めたセキュリティ・プラットフォームとして導入する場合には、各エンドポイント端末や管理用PCなどにソフトをインストールする必要がある。

導入後の運用方法・サポートの有無

 運用はシステム管理者、またはIT部門が行う。EDRから報告されるアラート(挙動不審情報)やインシデントレポートに基づく対策への取り組みも基本的には社内で行うが、アラートやレポートの理解や具体的な対策のサポートを提供しているベンダーもある(有料サポートであることが多い)。

他製品との連携方法

 エンドポイント向けセキュリティ・ソリューションのプラットフォームとして提供される製品以外は、基本的にアンチウイルスやネットワークセンサー、IDS(不正侵入検知)/IPS(侵入防御システム)などのEPP製品と連携させて導入するのが一般的である。

EDRの基礎知識

 EDR(Endpoint Detection and Response)とは、エンドポイント端末(利用者端末)向けのセキュリティ・ソリューションだ。エンドポイントでの監視を強化し、端末内に侵入したランサムウェアや標的型攻撃などのサイバー攻撃を検出することが目的だ。エンドポイント端末から収集した動作情報(ファイルやプロセスの挙動/レジストリの変更/ネットワーク通信の情報/その他)の解析や分析などを行い、挙動の異常からマルウェア感染や侵入を検知。エンドポイント端末の隔離やシステム停止などを行うことで、重大な社内システムへの影響を防ぐ。「ウイルス感染を前提としたセキュリティ対策」実現を支援するソリューションである。


EDRの導入効果


感染を前提とした対策が可能

 従来型エンドポイントセキュリティEPP(Endpoint Protection Platform)製品は、エンドポイント端末の感染防止を目的としている。しかし、最近のサイバー攻撃は標的型攻撃や正規OS機能の乗っ取りなどをはじめ攻撃が巧妙化しており、全ての攻撃を水際で完全に防御することは難しい。このため、感染を前提とした対策が主流の考え方となっており、EDRはこれを実現することが可能なツールだ。

セキュリティ侵害の原因特定

 EDRでは、エンドポイント端末の挙動を監視してログ記録を蓄積しながら、通常の操作ではあり得ないおかしな動作の兆候から不審なプログラムやプロセスを検知。これらの疑わしいデータをさらに詳細に解析や分析、調査を行い、感染端末や侵入経路、被害状況などを可視化することができる。

システム全体での脅威把握(インシデント支援)

 EPPなどの従来型エンドポイントセキュリティツールでは、個々のエンドポイント端末で脅威の検知と防御を行うのに対して、EDRでは全てのエンドポイント(システム全体)の挙動を把握することが可能。1つのエンドポイントで感染を検知した場合に、感染範囲を確認し被害拡大を防ぐと共に、特定した原因への対策を全てのエンドポイントに適用することで二次被害の防止が可能となる。

インシデント発生時のコスト削減

 エンドポイントでインシデントが発生すると、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲、ステークホルダーへの状況説明や対応策の説明など、やらなければならないことが多い。場合によってはこうした対応ができないケースもある。EDRを導入することにより、エンドポイントでの動作が記録されるので証拠保全につながり、解析・分析による原因特定、封じ込めなどを迅速に行うことができるので、負担や時間的コスト、経営的損失を大幅に軽減できる。


対象ユーザー


導入検討ユーザー
 ・複雑巧妙化するランサムウェアや標的型攻撃などのサイバーリスクへの対策を検討したいIT部門やセキュリティ担当者、経営者

利用ユーザー
 ・社内システムの運用・サポートを担うIT部門やセキュリティ担当者
 ・エンドポイント端末を使う全ての社内ユーザー


機能一覧


エンドポイント監視(モニタリング)機能

機能 解説
端末の挙動記録 エンドポイント端末にセンサーを常駐させ、ファイル操作やネットワーク接続、レジストリ情報、イベントログ、各種プロセスといった端末の動作情報を監視して記録する


解析・調査機能

機能 解説
クラウド脅威情報基盤による脅威分析 EDR提供ベンダーが提供するクラウド上のインテリジェントプラットフォームによる脅威の分析を行う
マルウェア解析 エンドポイントのモニタリングにより蓄積したログをアンチマルウェアエンジンにより解析し、マルウェアの可能性がある挙動を検知する
不正プログラムや不正侵入の解析 YARA(不正プログラムの特定・分類に用いられるオープンソースのツール)やOpen IOC(IOC:Indicators of Compromise)などのルールに基づいた調査を行い、不正プログラムや侵入の痕跡を発見する
インシデント詳細解析 さまざまな解析機能により検知された疑わしいプログラムやプロセスを、さらに詳細に解析する。例えば、サンドボックス機能などが実装されている


検知・防御機能

機能 解説
マルウェア検知 エンドポイント端末(PCなど)に対して、マルウェアとして報告されているファイルやハッシュ値に基づき検索を行うことで、マルウェアが存在するPCなどを特定する
アラート/警告 エンドポイント端末でのマルウェアの発生、感染や侵入などを検知した場合に、ユーザーや管理者に警告する
ファイアウォール 外部からの攻撃やマルウェアの脅威からエンドポイント端末を守る
セキュリティレベルの確認 エンドポイント端末(PCなど)にインストールされているアプリケーション情報を取得し、バージョンアップやパッチ更新が行われているかどうかを監視することで、端末のセキュリティレベルを確認する
ソフト自動更新 ビジネスで使われることの多い代表的なアプリケーションソフトを、バックグラウンド処理により強制的に最新版に更新する


インシデント対策機能

機能 解説
システム制御 感染や侵入が検知された場合、インシデントが解決されるまでネットワークの切断やアプリケーションソフトの非アクティブ化などを行う
プロセスの自動停止 マルウェアの疑いがある挙動を検知した場合に、該当するプロセスを自動停止する
プロセス停止 マルウェアと疑われるプロセスが動作しているPCを、管理者によりリモートで停止できる


その他機能

機能 解説
管理コンソール 利用者端末(エンドポイント)のログ情報を解析・分析した結果などを、Web画面などで一元管理する
インシデントレポート ネットワークやインフラに関連する傾向と脆弱(ぜいじゃく)性のレポートを作成する。インシデント対策に効果的


選定のポイント


ツールごとの違い(製品思想、機能)

 不信プログラムなどの検知には、Open IOCやYARAルールなどが使用される点では各製品ともほぼ同じといえるが、各社の技術とノウハウが蓄積された解析を行うインテリジェント(解析エンジン)機能の面で違いがある。また、エンドポイントの挙動監視と解析・調査に特化した製品や、アンチウイルスやネットワークセンサー、ファイアウォールなどの防御系機能と一体化したエンドポイント向けセキュリティ・プラットフォームのような製品がある。

価格形態・契約形態

 EDR製品の価格や契約形態はさまざまだが、エンドポイント端末の台数(ライセンス数)に応じた価格設定が一般的で、1年間など期間ごとの契約更新が必要な製品やサービスが多い。また、ライセンス数が増えると割引料金が適用されるボリュームディスカウントが採用されている製品も見られる。

導入形態

 最新のEDRソリューションでは、リアルタイムで分析を行うクラウド脅威情報基盤との連携が主流となっている。このため、企業内に構築したシステム(オンプレミス)とクラウドとを併用した導入スタイルが一般的だ。しかし、社内のコンプライアンス上のルールにより外部への情報送信に制限がある場合でも、システムを全て自社内に保有するオンプレミスでの構築が可能なソリューションもある。

導入前に自社で準備すべきこと

 EDRを導入するだけで全ての脅威から企業を守れるというわけではない。EDRは社内システムに重大な影響を与える感染や侵入などのインシデントをエンドポイント端末で検知することを支援するものであり、実際に検知した後の対応や判断のプロセス、それを実行する体制を確立しておくこと必要だ。できればインシデントレポートを見て対策を講じるスキルがある人材を、少なくともレポートなどの意味を理解できる人材を登用したり育成したりすることが重要だ。


システム要件・他製品との連携方法


一般的な導入方法・導入環境

 EDRは、エンドポイント向けセキュリティ・ソリューションの1つの機能(モジュール)として実装されることが一般的。すでに導入しているセキュリティシステムのベンダーが提供するEDR製品やサービスをモジュールとして各エンドポイント端末にプラグインイン経由で導入すると負担が少ない。新たにEDRを含めたセキュリティ・プラットフォームとして導入する場合には、各エンドポイント端末や管理用PCなどにソフトをインストールする必要がある。

導入後の運用方法・サポートの有無

 運用はシステム管理者、またはIT部門が行う。EDRから報告されるアラート(挙動不審情報)やインシデントレポートに基づく対策への取り組みも基本的には社内で行うが、アラートやレポートの理解や具体的な対策のサポートを提供しているベンダーもある(有料サポートであることが多い)。

他製品との連携方法

 エンドポイント向けセキュリティ・ソリューションのプラットフォームとして提供される製品以外は、基本的にアンチウイルスやネットワークセンサー、IDS(不正侵入検知)/IPS(侵入防御システム)などのEPP製品と連携させて導入するのが一般的である。