EDR

EDR（Endpoint Detection and Response）とはエンドポイントで発生する動きを監視して攻撃者の侵入を素早く検知し、対応することで被害を防ぐセキュリティ製品のことをいいます。EDRは感染後の対処を担う製品であり、ウイルス対策ソフトのような「境界型防御」の従来型セキュリティ製品を補完するものとして、日本でも導入する企業が増えてきました。

「Endpoint／エンドポイント＝末端」という言葉が意味するように、EDRはネットワークの末端に接続された個々の機器（パソコンやスマートフォンなど）を監視し、不審な動きの検知と対処を行います。具体的には、それぞれのエンドポイントにインストールされた監視用アプリケーション（スキャナー）からデータを集め、AIや専門家が分析した上で、その結果をユーザーに報告し、不審な動きがあれば直ちに停止させるというのが大まかな仕組みです。製品やオプションによっては、脅威への対処時に専門家のサポートを受けられるものもあります。

EDRのほかにも、エンドポイントを保護する製品としてEPP（Endpoint Protection Platform）があります。EPPはウイルスの感染防止・駆除を行う製品群を指し、代表例として従来型アンチウイルス（ウイルス対策ソフト）や「次世代アンチウイルス（NGAV : Next-Generation Antivirus）」が挙げられますが、このEPPで防ぎきれなかった攻撃を検知・阻止するのがEDRです。

また、従来型アンチウイルスにはパターンマッチング方式（過去に発見されたウイルスのプログラムコードの特徴をデータベース化し、エンドポイントに同様のファイルがないかどうか調べる手法）が採用されていますが、EDRとNGAVは同方式の弱点を補う「振る舞い検知」という手法を使います。

振る舞い検知はウイルスのパターンではなくエンドポイント上の動き（振る舞い：behavior）に注目して検出する方法で、EDRは正規のユーザーが行わないような操作（権限昇格、ほかのデバイスへの感染拡大など）に、NGAVは通常の無害なプログラムには見られないマルウェア独特の振る舞いに着目します。

EDRとNGAVは同じ手法で最新の脅威を検知しますが、あくまで予防策のNGAVに対し、EDRはその網をすり抜けた脅威を封じ込める緩和策です。それぞれ担う領域が異なるため、一般的にはどちらか一方を導入するのではなく、両方を併用することが望ましいとされています。

また、EDRは各エンドポイントでのあらゆる動きを記録するため、攻撃を受けた後に情報漏洩などの被害が発生した場合に必要な「フォレンジック」（原因究明のための調査）でも役立ちます。

ただ、EDRの運用にはコストがかかることも事実です。EDRは「疑わしい（グレーな）」動きをすべて検知・報告するだけでなく、大量のエンドポイントを常時監視するため、過検知によって運用負荷が増えやすい点や、収集した大量のログを解析するリソースが必要になるといった課題も指摘されています。

EDRについて、さらに詳しくはこちらの記事もご覧ください：

「EDRは必要？アンチウイルスやEPPとの違い、運用コストは？」