2023/03/14

EDRとは?
機能や仕組みをわかりやすく解説【図解】

まず「EDR」とは何か?

「EDR」とは、「Endpoint Detection and Response」の略称で主にユーザーが使用するPCにインストールして利用するセキュリティソフトウェアのことをいいます。他のセキュリティソフトウェアとは大きく違うところは、「侵入前に全力で防ぐ」のではなく「侵入後の対策を念頭に考える」というスタンスで開発されているところです。

「侵入前に全力で防ぐ」といった従来のセキュリティの考えだと未知の脅威やマルウェアに弱く、欠点がいくつかありました。その欠点を解消し、今の時代に合った仕組みで開発されているのが「EDR」です。後ほどご説明しますが「EDR」はゼロトラスセキュリティ的な考えに当てはまり、テレワークが流行り出した頃に一緒に注目され始めました。 

関連ページ:EDRソフトウェア

「EDR」が注目される理由

今まではオフィス内とオフィス外の境界線にセキュリティー対策のほとんどを重点的に置き、「内側には絶対に通さないぞ!」という考えのセキュリティーが一般的であり有効的だと言われていました。しかし、テレワークが普及して働く場所がオフィスでは無くなってしまいました。オフィスばかりにセキュリティーを固めていたのが今度は外で利用する各PCへセキュリティー対策を施さなければならなくなり、セキュリティーソフトウェアが一気に注目を浴びました。その中で今の時代の働き方にピッタリ合っているということで、さらに注目を浴びたのが「EDR」というわけです。

「ゼロトラストセキュリティ」との関係性

「ゼロトラスセキュリティ」という今の時代の最新セキュリティモデル。この「ゼロトラストセキュリティ」というのを簡単に表すと「決して信頼せず必ず確認せよ」という考えでセキュリティー対策を講じましょう、というセキュリティモデルのことです。オフィスに限定したセキュリティー対策ではテレワークなどに対応できないので「ゼロトラストセキュリティ」という言葉は一気に注目を浴びました。

ここまで読んで「EDR」となんか似てるな?と思った方も多いかと思います。つまりは「ゼロトラストセキュリティ」と「EDR」は目的が同じです。なので「ゼロトラスト」を構築するための1つのツールが「EDR」ということになります。 

関連ページ:「クラウド時代のセキュリティ ゼロトラスト」

「EDR」と「アンチウイルス」の違い

セキュリティーソフトウェアなら他にも「ウイルスバスター」や「マカフィー」など有名なものがいくつもあるのにナゼ「EDR」なのかというと、それぞれ大きな違いがあるからです。わかりやすくイラストで表現してみました(上記イラスト)。

従来からある「アンチウイルス」の場合、「攻撃を受ける前に全力で守って通さないぞ!」という考えで開発されています。それに比べ「EDR」は「防御を突破されるのは仕方ないけど侵入されたら全力で対処して復旧するぞ!」という考えで開発されています。「全力で守ってくれた方が良いじゃん?」って思った方も多いかもしれませんが、今の時代に100%守り切れるかというとほぼ不可能です。新種のマルウェア(一般的にウイルスと呼ばれる不正プログラム)は年間で8億種類、1日で換算すると40万種類増加しています。つまり前例がない未知の脅威です。

従来の「アンチウイルス」ソフトウェアは前例や統計を元にデータベースで対策方法を管理しています。なので新種(未知)の脅威にはあまり強くないと言えます。「EDR」は真っ向から戦うのではなく、どちらかと言えば「復旧」に重きを置いていますので新種(未知)の脅威と戦って勝つのが目的ではないのです。そのため、PCの復旧までが早く、業務が止まる時間を少なく抑えることができるのです。

「EDR」のメリット一覧

次に「EDR」のメリットをご紹介します。

被害を最小限に抑えられる

高い検知力で悪意のあるプログラムや攻撃をいち早く見つけ出し、プログラムの強制終了やコマンド停止などの対処を迅速に行えます。そのため、被害を最小限に食い止められます。さらに、リアルタイムでの分析をもとに時間をかけずに対処にあたることで被害拡大を防ぐことができます。

原因の特定や調査ができる

従来のソフトウェアに比べ、侵入経路などの調査や多角的な分析を自動で行うため、被害発生時に原因を簡単に特定することができます。ログに残された記録を辿り、原因を見つけ出しその際に行った行動や端末などを洗い出すことができます。

リモートワークと相性が良い

PCにインストールするセキュリティソフトウェアはいくつもありますがその中でも「EDR」はテレワークやリモートワークと相性が良いと言えるでしょう。その理由は、自宅やファミレス、カフェなどその時次第で様々なネットワーク環境でPCを利用することになります。そうなると受けるであろう攻撃やマルウェアの種類は未知数になります。

従来のセキュリティソフトウェアは未知の脅威にあまり強くなく、対応速度にもラグがあるので「EDR」が選ばれています。「EDR」であれば如何なる脅威であろうと「PCの復旧」に重きを置いているので業務をストップさせません。

「EDR」の主な機能

次に「EDR」の主な機能をご紹介します。(各メーカー、モデルによって機能は異なります)

リアルタイムでの異常の検知と予測(侵入前)

検知力が非常に高く、悪意のある攻撃やそれになりうるであろう「挙動」をいち早く検知し、無効化します。従来のセキュリティソフトウェアと比べ、リアルタイムで稼働しているので対応が素早いと言われています。従来のセキュリティソフトウェアはデータベースにある前例などをもとに対策をしているので未知の脅威には弱くなってしまいます。「EDR」は「怪しい挙動」を監視しているので漏れなく迅速な対応ができるというわけです。

防御と無効化(侵入前)

怪しい挙動を検知した場合、プログラムの強制終了やコマンドの停止をすることで攻撃が加速する前に無効化することができます。被害を最小限に食い止められる機能となっています。

対応と調査(侵入後)

侵入経路など様々な角度から調査と分析を行い、被害の発生源を特定し対応することができます。ログの中から不正な挙動などを発見し、その際に利用していたプログラムや行動をいち早く究明することができます。

ロールバックなどで修復(侵入後)

悪意のある攻撃に対して元の状態に戻す「ロールバック」が機能として備わっています。PCのストレージ内に全く同じ状態を複製しておき、被害に遭った際にこの複製を読み込むことで元の状態に復旧することが可能です。まとめて元の状態に戻せるため復旧に時間がかからず、業務への影響を最小限に抑えられます。

「EDR」の仕組み【図解】

機能はほとんど紹介させていただきましたが、実際の「EDR」ソフトウェアの流れは図のようになっています。「検知」はリアルタイムで常時起動しています。悪意のある攻撃や感染になる挙動を発見したら「隔離」し無効化、あるいはプログラムの強制終了やコマンドの停止を実行し無効化します。その後、侵入経路などの調査・分析を実行し原因を究明します。もし実害があればロールバック機能で「復旧」します。「EDR」ソフトウェアのメーカーや種類によって多少異なりますが、一連の流れはこのようになっています。

「EDR」にかかる費用・相場価格

かなり幅があるのでざっくりですが以下のようになっています。

  • クラウド型: 1万円〜100万円
  • オンプレミス型: 100万円〜1,000万円
  • 課金制: 1ユーザーで月額500円〜
  • 定額制: 5ユーザーのパックで月額1,500円〜

タイプやプラン、メーカーによって金額の幅が広いのでお客様次第になってしまいます。導入前は専門業者とヒアリングして決めましょう。

おすすめの「EDR」ソフトウェア

fortiEDR

UTMで高いシェア率を誇る「Fortinet」が提供する「EDR」と「EPP」が組み合わさったソフトウェアで、クラウド型のエンドポイントセキュリティです。AI技術を活用し、不審な挙動を高精度で検知し、無効化します。また、管理画面での一元管理が可能なので管理コストを削減できます。関連ページ:EDRソフトウェア

Check Point Harmony Endpoint

Check Point Harmony Endpoint(チェックポイント ハーモニーエンドポイント)は、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社が提供する「EDR」で、日本でも安定したシェア率のあるソフトウェアです。高い検知力と管理の一元化が優れた点です。他のセキュリティソフトウェアと競合しないため既存のセキュリティにプラスしてこの「EDR」をインストールすることができます。 

関連ページ:EDRソフトウェア

会社のセキュリティ対策でお困りなら…

時代や働き方の変化と共にセキュリティに対する考えや対策も変わりつつあります。会社の財産であるデータは自分たちで守るしかありませんし、被害に遭わないと思っていればいつか痛い目に遭ってしうかもしれません。時代に適応した早めの対策「EDR」を強くおすすめします。

ルートシステムは30年間ITに関わり蓄積したノウハウと最新の技術でプロのスタッフがあなたの会社のセキュリティをサポートします。”無料”の環境診断も用意していますのでお気軽にお問い合わせください!