EDRとは?EPPとの違いなど、導入前に知っておきたい基礎知識 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > 脅威インテリジェンス > EDRとは?EPPとの違いなど、導入前に知っておきたい基礎知識

EDRとは?EPPとの違いなど、導入前に知っておきたい基礎知識

 

EDRは、万が一攻撃者の侵入を許してしまった場合に、迅速な検知と対応を行うことで被害を防ぐためのセキュリティ製品です。感染を予防するウイルス対策ソフトのような従来型セキュリティ製品を補完するものであり、日本でもEDRを導入する企業は増えてきています(下図)。一方で、運用の負荷を不安視する方も多いようです。本記事では、EDRと従来型ウイルス対策ソフト等の違いや、EDR導入のメリットとデメリット、選定の際のポイントについて解説します。

図:EDRを導入する日本企業は増加しています。エンドポイントを保護するセキュリティ製品のうち、最も導入割合が高いのは「ウイルス対策ソフト」である一方で、「EDRツール」の導入率はこの1年で約6ポイント増加しており、関心の高さが窺えます。(情報源:JIPDEC 2022,「IT-REPORT」)。

目次

1.EDRとは

EDRはエンドポイントを保護するもの

なぜエンドポイント保護が必要か

EPP、ウイルス対策ソフト等との違い

なぜEDRが必要なのか

2.EDRにできること

機能

仕組み

3.EDRのメリット・デメリット

メリット

デメリット(コスト)

4.EDRを比較・選定する際のポイント

導入のポイント、選び方

Cycraftのご紹介

EDRとは

EDRはエンドポイントを保護するもの

EDR(Endpoint Detection and Response)とは、エンドポイントで発生する動きを記録・保存し、不審な動きの検知や対処を行うセキュリティ製品のことです。エンドポイントとは、「末端」という意味で、ネットワークに接続された「個々の機器」(パソコン、スマートフォンなど)のことを指します。EDRという概念が使われ始めたのは2013年[1]と言われており、比較的新しいツールだといえます。

なぜエンドポイント保護が必要か

従来のセキュリティ対策では、インターネットと組織内部のネットワークとの境界にファイアウォールやIDS/IPSといったセキュリティ製品を設置して、ネットワークを外部からの攻撃から保護するという「境界型防御」が主流でした。これに対し、近年ではリモートワーク(テレワーク)が普及し、社外のクラウドサービスや従業員の私用機器の利用(BYOD)が広まったことにより、「境界型」の手法だけでは不十分になってきました。こうした背景から、エンドポイント単位で行うセキュリティ対策である「エンドポイントセキュリティ」との併用が重要になってきています。

関連記事:私物機器の業務利用「BYOD」のリスクとセキュリティ対策

EPP、ウイルス対策ソフト等との違い

エンドポイントを保護する製品は、EDRとEPP(Endpoint Protection Platform)の2つに分類できます。EPPはウイルスの感染を防ぎ、駆除する製品を指します。「ウイルス対策ソフト(アンチウイルス)」や「次世代アンチウイルス(NGAV : Next-Generation Antivirus)」が代表的な例です。これに対し、EDRは感染した後の対処を担う製品であり、EPPで防ぎきれなかった攻撃を検知・阻止するものです。

図:EDR、EPP、アンチウイルス、次世代アンチウイルス(NGAV)の関係

なぜEDRが必要なのか

ウイルス対策ソフトですべての感染を予防できるなら、EDRは不要と言えるかもしれません。しかし実際には、ウイルス対策ソフトにも限界があります。

従来型ウイルス対策ソフトの盲点

従来型のウイルス対策ソフトは、過去に発見されたウイルスのプログラムコードの特徴をデータベース化し、エンドポイントに同様のファイルがないかを調べます(パターンマッチング方式)。しかし、この方式では、データベースにまだ登録されていない新種のウイルスは検知できません[2]

さらに攻撃者の側も、検知されないための技術を進化させています。たとえば、「ポリモーフィックマルウェア」は、感染する度にコードをわずかに変化させ、検知を回避します。最近日本でも話題になったEmotetも、ポリモーフィックマルウェアの一例です。その他、「ファイルレスマルウェア」や「環境寄生型攻撃(LOTL : Living off the Land attack)」のように、ウイルスではなく、デバイスにすでに存在する正規のアプリケーションを使って攻撃することで、検知を逃れるものもあります。

 

関連記事:Emotetの活動が2022年3月に急増、日本のユーザーも標的に

予防策と緩和策の両方が必要

ウイルス対策ソフトのこれらの「盲点」を克服する方法としては、2つ考えられます。1つは、検知の技術を改良して守りの「壁」を強化することです。もう1つは、「壁」を突破された場合の被害を軽減する手段を作ることです。次世代アンチウイルス(NGAV)は前者に相当し、EDRは後者に相当します。

NGAVもEDRも、「振る舞い検知」という手法を用います。振る舞い検知とは、ウイルスのパターンの代わりに、エンドポイント上の動き(振る舞い:behavior)に注目して検知する方法です。NGAVは、通常の無害なファイルには見られないウイルス独特の機能や振る舞いに注目します。EDRであれば、正規のユーザーが行わないような操作に着目します(例:権限昇格、他のデバイスへの感染拡大)。

このように両者の手法は共通していますが、NGAVはあくまで予防策であり、EDRは予防策をすり抜けた脅威に対処する緩和策です。それぞれ担う領域が異なるため、どちらか一方を導入しただけでは不十分であり、一般的には両者を併用すべきだとされています。

関連記事:「ピラミッドオブペインとは

EDRにできること

以上、EDRは「エンドポイント単位のセキュリティツール」で「感染後の対処に使えるもの」だということを説明しました。では、具体的にどんな対処を行うのでしょうか。

機能

基本的にEDRと呼ばれるものは、セキュリティ・インシデントを①検知する、②エンドポイントで抑止する、③調査する、④修正の指針を提示するという、4つの性能を備えたものです[4]

仕組み

まず、各エンドポイントに監視用のアプリケーションをインストールします。このアプリケーションは、「エージェント」「センサー」「スキャナー」などと呼ばれます。このアプリケーションは、エンドポイントで発生する操作を、正規なものを含めすべて監視します。監視した結果は常に、EDR提供元のサーバーへと送られ、記録されます。

EDRは、不審な動き(例:攻撃者のサーバーとの通信、ネットワーク上の他の機器への感染拡大、情報の抜き取り)を①検知した際、直ちにその動きを②停止(例:隔離やプロセスの中断)することが可能です。また、EDR提供元サーバーに送られた情報を、③AIやアナリストが分析し、分析結果をレポートとして④管理者やユーザーに配信することもできます。

図:弊社提供EDR製品「Cycraft AIR」の仕組み[3]

EDRのメリット・デメリット

メリット

すり抜けた脅威への対処

EDR導入の主なメリットは、境界型防御やEPPをすり抜けた脅威に対処できることです。たとえば、テレワークや出張などで社外ネットワークを利用する場合、境界型防御では対処が困難です。また、EPPでは感染を防げない高度な攻撃手法に対しても、検知や対処を行うことが可能です。

被害が出た後も役立つ:フォレンジック

攻撃により情報漏洩が発生したり、漏洩の可能性が判明したりした場合には、原因究明のための調査(「フォレンジック」)が必要になります。EDRは各エンドポイントでのあらゆる動きを記録するため、こうした事後調査にも役立ちます。

デメリット(コスト)

過検知による運用負荷の増大:EPPとの併用が必要

EDRは「疑わしい(グレーな)」動きをすべて検知・報告するため、その動きが「黒である」ことをはっきりさせるための分析が必要になり、運用負荷が増えます。よって、EPPとの併用が必要になります。EPPが水際でちゃんと防いでくれれば、EDRが警告を発する機会も減るためです。EPPに加え境界型のセキュリティとも併用できれば、「多層防御」の観点からは、なお良いでしょう。

EDRが集めたログを分析するための人材が必要

EDRは組織が使う大量のエンドポイントを常時監視するため、収集するログの量は膨大となります。これらを分析するスキルを持った人材を十分に確保する必要があります。自社内から人材を確保することが難しい場合の解決策としては、「SOC事業者への運用依頼」「運用もセットになったMDR(Managed Detection and Response)の導入」が挙げられます。また、最初からEDR・NGAV・MDRが一体化した状態のサービスも存在し、弊社が提供するCycraft AIRはその一例です。

関連記事:「CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説

EDRを比較・選定する際のポイント

導入のポイント、選び方

EDR導入のポイントとして、情報処理推進機構(IPA)は「ゼロトラスト移行のすゝめ」の中で、以下の4つを挙げています。なお、ゼロトラストとは、「内部のネットワークは安全で、外部は危険」という境界型防御と対をなす考え方で、「たとえ境界内部であっても無条件に信⽤せず、全てにおいて確認し認証・認可を⾏う」という概念です。EDRのようなエンドポイントセキュリティも、ゼロトラストを構成する重要な要素です。

関連記事:「ゼロトラストセキュリティとは?5つの構成要素と対策の具体例

①脅威インテリジェンスを活⽤可能な製品を選ぶ

「⽇々⾼度化・複雑化するサイバー攻撃に対応するためには最新の脅威インテリジェンスに基づいて検知・対応を⾏う機能が有効である。脅威インテリジェンスを活⽤可能な製品を選定することをおすすめする。」

②過検知が発生した場合はチューニングを

「どのような挙動を検知しアラートを上げるのか、組織で必要なポリシーを定め、運⽤の中で改善する。これを⾏わなければフォールスポジティブよるユーザーへの業務影響や、運⽤部⾨の負担増が発⽣する可能性がある。過検知が発⽣した際には、業務に必要なシステムのホワイトリスト登録といったポリシーチューニングが求められる。」

③導入後のアラート対応こそが重要

「EDR は導⼊したのちに、検知されたアラートに適切に対応することで真価を発揮する。アラート対応について、内製・外注といった選択肢がある。どちらを選択するかは組織の判断に委ねられるが、「⾃組織にアラート検知にあたる⼈的リソースの確保ができるか」「(⼈的リソースが確保される前提で)アラート対応できる技術⼒を持った⼈材が⾃組織にいるか」が主な判断基準となる。技術⼒に不安のある組織は、試験運⽤中にアラート対応を⾃組織で⾏い、対応の難しい部分のみ SOC 事業者へ外注する選択肢もある。その際、外注先と協調してアラート対応を⾏い、⼈材を育てることで最終的にはアラート対応を内製で⾏う⽅針を⽴てる事もできる。」

④IDaaSと連携させることも大事

「EDR の監視機能により、リスクレベルが⾼いと判断されたデバイスからのアクセスを禁⽌することができる。これを実現するために、IDaaS とEDR を連携させる。」

まとめ

上記の通り、IPAは脅威インテリジェンスを活⽤可能なEDR製品を推奨しています。EDRは「未知の」脅威に対処するものです。そのためには攻撃者の手法に関する最新のトレンドを把握する必要があるため、その把握に役立つ脅威インテリジェンスの活用が必要だと考えられます。

関連記事:「脅威インテリジェンスとは

Cycraftのご紹介

最後に、マキナレコードの提供するEDRソリューション「CyCraft AIR」を紹介いたします。台湾の企業であるCyCraft社は、AI技術を活用したサイバーセキュリティ自動化サービスを提供しています。同社の製品「CyCraft AIR」は、次世代アンチウイルス(NGAV)、EDR、脅威インテリジェンスを搭載しており、MDRとしても利用可能です。

Cycraftの詳しい情報や、概算お見積りをお求めの方は、以下のフォームからお気軽にお問合せください。

 

 

参考資料

[1] Chuvakin, 2013

なお、資料末尾にある通り、当初はETDR(Endpoint Threat Detection & Response)と命名されたものの、2015年ごろにはEDRという呼称が一般化したようです。

 

[2] ドイツの独立系ITセキュリティ機関AV-TEST Instituteのデータでは、2022年10月13日の時点で、新たなマルウェアは1日あたり30万件近く確認されているとのことです。

 

[3] Cycraft,2022より引用

 

[4] Gartner, “What are EDR (Endpoint Detection and Response) Solutions?

 

筆者プロフィール

田村恭平 / 株式会社マキナレコード インテリジェンス関連・翻訳担当

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。