タニウムは5月27日、国内企業でのEDR(エンドポイント検知&対応)ソリューションの実態について調査した結果を発表した。導入率は約2割で有効活用や導入の優先度に課題があるとし、EDR導入以前に適切なセキュリティ環境を確保するよう提起している。
調査は、従業員数1000人以上の企業と公共団体のIT管理者・担当者を対象にウェブでアンケートを行い、644件の有効回答を得た。アイ・ティ・アール(ITR)に委託し、2月3~4日に実施された。
まずEDRの認知度は、「名前は知っている」が43%、「主な機能を含めよく知っている」が33%で、半数以上がEDRの名称を把握していた。一方で、ウイルス対策との違いの認識ついては、45%が「違うことは知っているが説明はできない」、32%が「違いを知っていて説明できる」、23%が「違いは知らない」と回答。EDRの知名度に比べて内容の理解が進んでいないとした。
EDRの導入状況は、導入済みが21%、導入検討中が30%、情報収集中で未定が25%、導入予定なしが8%、不明が17%だった。導入理由では、6割強が検知率の高さ、約4割が誤検知の少なさを挙げたが、導入後の課題では、4割以上が限定的な効果にとどまったとし、「製品単体では検知後の対応が限定的だった」「検知数が多過ぎた」がそれぞれ3割近くに達した。
EDRでの脅威の検知とその対応の頻度は、「1年に5回以下」が44%で最も多く、以下は「1年に1回かそれ以下」(27%)、「1年に10回以下」(19%)、「分からない」(10%)だった。
導入済みEDRに対して改善を求める点は、「誤検知が多い」が33%で最も多い。以下は「検知だけで隔離や駆除まではやってくれない」(29%)、「管理画面が分かりにくい」(26%)、「価格が高いこと」(18%)、「操作が煩雑」(15%)、「特にない」(15%)、「ほかのアプリの稼働に影響を及ぼすことがある」(13%)などだった。
また、回答企業の中には、EDRの導入を経営層があまり評価していないという傾向を示すところがあったといい、4割強は経営層に導入効果を明示しづらいこと、約3割はEDR製品が役立つケースが少ないことを挙げた。
タニウムの独自調査によると、組織のネットワークに接続する端末の15%が管理されておらず、端末の40%はパッチ管理などが不十分であり、合計した55%の端末が適切なセキュリティ状態を確保していないという。同社は、EDRがセキュリティ対策の運用プロセス全体の一部であり、未管理状態のある端末の可視化や適切なパッチ管理といった、脅威の検知や対応以外のプロセスを底上げしていくことが重要だと説いている。