Endpoint Detection and Response(EDR)は、自動化された脅威対応メカニズムにより、エンドポイントのセキュリティ関連データを対象にリアルタイムの監視と収集を行う、エンドポイント セキュリティ ソリューションです。
EDR は Gartner が提唱した用語であり、ホストとエンドポイントの両方における疑わしいアクティビティを検知および調査する新しいセキュリティ システムのクラスを表しています。EDR は、セキュリティ チームへの通知により迅速な対応を可能にする、高度な自動化を利用することで実現できます。
EDR システムは、次の 5 つの主要な機能を提供します。
EDR システムは、現代のセキュリティ チームにとって、もはや必須と言えるほどの重要性を持つようになりました。EDR は、主に次のような方法により、既知および新興の脅威やセキュリティの問題に対する防御をデジタル境界で提供します。
EDR システムはまず、監視データを包括的に収集して、潜在的な攻撃を網羅したビューを生成します。オンラインとオフラインのすべてのエンドポイントを継続的に監視することで、分析とインシデント レスポンスが容易になります。これにより、詳細な分析とインサイトの取得が可能になるため、セキュリティ専門家が組織のネットワークの異常と脆弱性を把握して、将来のサイバー犯罪イベントへの備えを強化できます。エンドポイント脅威すべてを検知する機能は従来のアンチウイルスでは実現できなかったものです。また、さまざまな脅威にリアルタイムで対応できる EDR の機能により、セキュリティ チームは潜在的な攻撃や脅威が進化してもすべてリアルタイムで可視化できます。
こうした機能により、重大な損失や侵害が発生する前に、初期段階で攻撃を遮断して損失を防ぐことができます。また、リアルタイムの対応を活用することで、組織はネットワーク上の疑わしい振る舞いや不正な振る舞いを特定し、運用に影響が生じる前に脅威の侵入経路を突き止めることができます。最後に、EDR システムはほかのセキュリティ ツールと連携させることができるため、エンドポイント、ネットワーク、SIEM からのデータを相互に関連付けて、デジタル資産への不正アクセスを試みる悪意のある攻撃者の行動様式や手法をより深く理解できます。
脅威に関する状況は絶えず変化しており、新しいウイルス、マルウェア、その他のサイバー脅威が毎日登場しています。このような脅威の進化に対応するために、起こりうる異常に対するリアルタイムのデータ収集と検知がますます重要になっています。
これらの課題は、モバイル ユーザーの増加が加速している今日の状況下ではより深刻になります。新型コロナウイルス感染症のパンデミックによって従業員のリモート接続がより一般的になった今日、組織のデジタル資産へのアクセスに使用されるエンドポイントは多くの場合、従業員所有のデバイスです。この BYOD デバイスは、従業員の家族が共有して使用したり、家族の使用するネットワークに接続されたりする場合があるため、従業員の知らないうちにマルウェアに感染するおそれがあります。
このような課題に対し、組織は EDR を採用して、次のような方法で改善に取り組むことができます。
EDR をサードパーティの脅威インテリジェンス サービスと連携させることで、エンドポイント セキュリティ ソリューションの有効性を向上させることもできます。脅威インテリジェンスから得られる集合知を活用することで、ゼロデイ攻撃やその他の多層エクスプロイトに対する EDR の検知能力を強化できるからです。現在、多くの EDR ソリューションでは機械学習と人工知能(ML/AI)の導入を進めており、組織ごとのベースラインの振る舞いを「学習」させ、その情報を攻撃検知時のデータ解釈に使用することで、プロセスをより高度に自動化できます。
EDR は、ネットワークとエンドポイントのトラフィックを監視し、セキュリティの問題に関連する可能性のある情報を収集して、分析のために中央データベースに集積します。また、これらの情報により脅威イベントのレポート作成と調査を容易に実行できます。
すべての EDR ソリューションが同じように設計されているわけではありません。実行するアクティビティの範囲はベンダーごとに異なります。一般的な EDR ソリューションの主要コンポーネントは次のとおりです。
EDR ソリューションは、最新の EDR ソリューションと比較すると対象範囲が限られている、従来のアンチウイルス プログラムを包括的に組み合わせたものとみなせます。その点では、アンチウイルスは EDR ソリューションの一部であると言えます。
アンチウイルスはウイルスのスキャン、検知、除去などの基本的な機能を実行しますが、EDR はほかにも多くの機能を実行します。EDR には、アンチウイルス以外にも監視、許可リスト/拒否リストなど各種の機能が含まれている場合があります。そうした機能を組み合わせることで、既知および新規の脅威に対するより包括的な保護を提供するように設計されています。
現在では、デジタル ネットワークの境界があらゆる場所を含むように拡大したため、従来のアンチウイルスでは、企業リソースへのアクセスに使用されるさまざまなデバイスすべてを保護することが難しくなっています。EDR システムは、高度なサイバー攻撃に対する防御策としてより優れており、EDR の自動対応を利用することで、攻撃からの組織の保護が IT チームにとって過負荷になってしまう状況を防ぐことができます。
このような対策の採用は、脅威に関する状況が常に急速に進化している今日においてますます重要になっています。悪意のある攻撃者は攻撃手法を巧妙化し、高度な脅威を利用してネットワークへの侵入を試みているため、単純なシグネチャベースのアンチウイルスではゼロデイ攻撃や多層型の脅威をすばやく検知できません。これに対し EDR システムは、あらゆる種類のエンドポイント脅威を検知して、特定された脅威に対するリアルタイムの対応を可能にします。