いまからでも遅くない！EDRの基礎を速習「何でもQ&A」

　EDRとは「Endpoint Detection and Response（エンドポイント検知と対応）」の略称で、企業・組織のシステムを成すエンドポイント（端末やサーバ）を監視して、不審な動きをリアルタイムに「検知」してアラートを発したり、セキュリティインシデント（以下、インシデント）への速やかな「対応」を支援したりするソリューションのことです。また、ここでいう「インシデントへの速やかな対応」とは、挙動の記録（動作ログ）にもとづいて「脅威の侵入経路」や「影響範囲」などをすばやく特定したり、マルウェアに感染したエンドポイントをネットワークから速やかに隔離したりすることを意味しています。

　では、このEDRと、従来型の「ウイルス対策ソフト（アンチウイルスソフト）」や「NGAV（次世代型アンチウイルスソフト）」とは何がどう違うのでしょうか。

　その違いは、これらのソリューションを、オフィスにおける物理セキュリティの仕組みに置き換えて考えると理解が早いでしょう。

　まず、EDRは物理セキュリティにおける「監視カメラ」と同様の仕組みといえます。

　オフィス内に設置した監視カメラの映像からは、不審者の侵入をリアルタイムに検知することができます。また、特定のインシデントから映像を遡り、インシデントを引き起こした犯人が、どこから、どのようにしてオフィスに侵入したのか、侵入後、どのように行動して何を奪ったのか（あるいは、壊したのか）がとらえられます。つまり、監視カメラを通じて、インシデントを引き起こした犯人や犯行の内容（範囲）、侵入経路が特定できるわけです。また、それによって再発防止の施策をすばやく講じることも可能になります。それと同様のことを実現するのがEDRです。

　一方、ウイルス対策ソフトやNGAVは「EPP（End-Point Protection：エンドポイント防御）」のカテゴリーに類するソリューションです。物理セキュリティの世界でいえば不審者のオフィスへの侵入をブロックする「ゲート」「鍵」や「監視員」の役割を担います。

　ちなみに、従来型のウイルス対策ソフトとNGAVとでは脅威の特定方法に違いがあります。従来型のウイルス対策ソフトは「既知の脅威」が持つ特徴（シグネチャ）との照合（パターンマッチング）によって脅威を特定します。これは、いわゆる「指名手配犯」の顔写真や指紋との照合によって危険人物を特定するのと同じ方法です。

　一方のNGAVは、パターンマッチングに加えて、AIの技術を使い、エンドポイントの挙動などから脅威を割り出す機能を備えています。この仕組みは、オフィスに最新技術を採用した高機能のゲート付近にベテランの監視員を配置して、たとえ指名手配犯でなくとも人の怪しげな行動から不審者を特定し、オフィスへの侵入をブロックできるようにするのと同様のものです。

　また、NGAVに類するEPP製品では、パターンマッチングでは検出できない「ファイルレス攻撃（マルウェアの実行ファイルを使わない攻撃）」をブロックしたり、ネットワークの脆弱性を突いた攻撃からエンドポイントを保護したりする機能も備えています。

　エンドポイントの挙動から脅威を割り出すという点で、EDRとNGAVには似たところがあります。そのため、NGAVとEDRとを混同してとらえる人もいます。ただし、上記のとおり、エンドポイント保護における両者の役割は大きく異なり、その機能にも違いがあるのです。

　実のところ、EPPによってエンドポイントへの脅威の侵入を100％ブロックできるなら、EDRを使う必要はありません。

　ただし、今日におけるサイバー攻撃は巧妙化、多様化が激しくなっています。さらにデジタル化、リモートワーク、新しいテクノロジーの導入など環境の変化により企業・組織で働く人やシステムの隙（すき）や脆弱性が増えており、それらを巧みに突いて侵入を試みます。ゆえに、EPP製品を使ったとしてもエンドポイントへの脅威の侵入を100％ブロックするのは難しくなっています。

　実際、今日における企業・組織の大多数がEPP製品を導入しています。それでもランサムウェアなどを使ったサイバー攻撃による被害は後を絶ちません。

　警察庁によれば、令和５年（2023年）上半期におけるランサムウェアによる企業・組織の被害件数は103件で、前年同期から9.6％減少しているものの引き続き高い水準で推移しているといいます（図1）。

図1：企業・団体等におけるランサムウェア被害の報告件数の推移（単位：件）
（資料：警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」のデータをもとに作成）

　103件という数字はそれほど多くないように思えるでしょう。ただし、これはあくまでも警察庁に報告のあった被害件数です。水面下では、より多くの被害が起きていると見られています。

　そうしたことから、独立行政法人 情報処理推進機構（IPA）も、2024年において企業・組織が警戒すべき脅威のトップに「ランサムウェアによる被害」を位置づけ、警戒を強く呼びかけています。

図2：2024年において企業・組織が警戒すべき脅威のトップ5

　さらに、IPAによると、一時沈静化していたマルウェア「Emotet」の攻撃メールも2023年3月から活発な活動を再開させているようです。Emotetは、企業・組織の関係者を装う巧妙な攻撃メールなどを足掛かりにエンドポントに侵入し、メールアカウントやメールデータなどを窃取して、その情報を他のマルウェアへの2次感染のために悪用する悪質なマルウェアです。

　こうした脅威が横行する中で、EDRによる監視がないままに、エンドポイントへのマルウェアの侵入を許してしまったとしたら、どうなるでしょうか。

　その場合には、マルウェアの侵入を即座に検知したり、マルウェアの感染端末を速やかに特定して隔離したり、脅威の侵入経路・影響範囲を特定して迅速に対処するのが困難になります。

　結果として、インシデントへの適切でスピーディな対応がとれず、被害を拡大させたり、2次攻撃による被害を受けたりするリスクが膨らみます。また、インシデントによって負の影響を受けた取引先や顧客への説明責任がなかなか果たせず、周囲からの信用・信頼を失ってしまう可能性も大きくなります。

　警察庁によると、2023年上半期に報告されたランサムウェア被害では、16.7%（有効回答60件）が被害の調査・復旧に1カ月程度の時間を要し、30.1％（有効回答53件）が調査・復旧に1,000万円以上のコストを費やしていたようです。EDRはこうした調査・復旧の期間やコストを大幅に低減させる効果も期待できます。

　上記「Q1」への解答でも示したとおり、EPPはエンドポイントへの脅威の侵入をブロックする「防御」のソリューションで、物理セキュリティでいえばオフィスビルのゲートやゲート監視員の役割を担う仕組みです。一方、EDRは脅威の侵入に備えた検知とインシデント対応のためのソリューションであり、物理セキュリティにおける監視カメラと同様の役割を担う仕組みです。

　ですので「EDRを導入すればEPPは不要になる」と考えるのは、「オフィス内に監視カメラを設置したので、ゲートは24時間365日、誰でも入れるように開放して良い」と判断するのと同じことです。

　もちろん、企業システムのエンドポイントを取り巻くデジタル社会が、犯罪発生率の低い安全な環境であるならEDRの導入だけでエンドポイントは守れるかもしれません。ただし現実はその真逆です。今日における企業システムのエンドポイントは膨大な数のサイバー攻撃の脅威にさらされています。

　そんな中でEDR製品を導入する代わりにEPP製品による防御を外してしまえばどうなるでしょうか。

　おそらく、エンドポイントが多種多様な脅威に侵入され、24時間365日、EDRが膨大な数のアラートを発し続けることになるでしょう。これにより、セキュリティ担当者はアラートへの対応に忙殺され、多くの見逃しを発生させてしまうリスクが膨らみます。結果として、EPP製品があれば、簡単に（自動で）ブロックできるような脅威によって深刻なインシデントを発生させてしまう可能性が大きくなるのです。

　ゆえに、まずはEPPによってエンドポイントの防御を固めて、脅威の侵入を可能な限り自動でブロックすることが大切です。そのうえで、万が一の脅威の侵入に備えてEDRを導入し、脅威の侵入検知とインシデント対応の仕組み、そして体制を整えることが必要になります。

　ちなみに今日では、日本を含む各国の企業の多くが、巧妙化・多様化するサイバー攻撃に備えるために、米国立標準技術研究所（NIST）が定めた「サイバーセキュリティフレームワーク（CSF）」に則ったかたちで仕組みづくりと体制づくりを進めています（以下参照）。

NIST CSFにおける企業システム保護の標準プロセス

「①識別」＞「②防御」＞「③検知」＞「④対応」＞「⑤復旧」

　このフレームワークからも、EPPとEDRの組み合わせによってエンドポイントの「防御」と脅威侵入の「検知」「対応」の仕組みと体制を整えることが重要であることがわかります。またそれは、今日のサイバー攻撃からエンドポイント、ひいては企業を守るうえでの当然の施策であるといえます。

　確かに、今日のEDR製品は、カタログスペック上の機能にそれほどの違いはないかもしれません。そんな中で製品の良否を見分けるうえでは、以下のポイントに留意すると良いでしょう。

• 未知の脅威を発見するAIの機能の充実など、日々進化する脅威に対応しているか（先進性）
• 防御力を損なうことなく、検知と対応力が大きく向上しているか（信頼性）
• 動作ログから脅威の侵入経路や影響範囲を調査・特定するための相関分析で事象の全体像が把握しやすく直感的にわかりやすいUIか（直感性）
• 製品に対するサポートサービスの充実さ、自社での監視・運用体制構築が困難な場合のサービスを提供しているか（保守性）
• 製品導入後の効率的な運用をサポートする仕組み、もしくはSaaSソリューションでメンテナンスがフリーか（運用性）

　もう1つ大切な視点は、EDRがエンドポイント保護のソリューションを構成する1つの要素に過ぎないという点です。

　上述したとおり、エンドポイント保護を強化するうえでは、EDRのみならず、EPPのソリューションも必要になります。ゆえに、これらの製品を使って有効、かつ効率的にセキュリティ運用していけるかどうかが大切になります。

　その観点からいえば、EDRのみならず、EPPについても優れた製品を提供しているベンダーを選択した方が効率よく、確実にセキュリティレベルの向上が図れます。また、EDRとEPPの問い合わせやサポート窓口を一本化することができれば、セキュリティ運用の効率化も図ることができます。言い換えれば、EDRとEPPの機能を併せ持つ統合的なソリューションを導入するのが賢明な策といえるわけです。また、そうした統合ソリューションを選ぶことで、EDR製品とEPP製品を異なるベンダーから個別に導入するよりも、コストが低く抑えられる可能性も高くなります。

　EDR製品といえども、脅威検知の精度が100％であるわけではありません。ゆえに「過検知」や「誤検知」によって多くのアラートを発してしまい、結果として、アラートに対応しなければならないセキュリティ担当者の業務負担が増えてしまうことがあります。

　この問題を解決する一手は、AIの働きによって誤検知が少なく、かつ、脅威の深刻度などの分析を高精度に行うEDR製品を選ぶことです。

　また、EDR運用の業務負担をさらに引き下げたいと考えるのであれば、MDRのサービスを活用するという手もあります。

　MDRとは「Managed Detection and Response」の略称で、24時間365日体制で企業システムのセキュリティ監視を行うサービスのことです。その中には、セキュリティエキスパートの専門知識とAIを活用して、脅威の検知と分析・対応を高精度、かつ迅速に行うサービスがあります。そうしたMDRサービスを活用することで、社内にセキュリティ専任者がいなくても、EDR製品を使った高度なエンドポイント保護を実現することが可能になります。

　EDR製品やMDRの料金は、ベンダーごとにさまざまです。一概に、それらを導入・活用するための料金が「安い」、あるいは「高い」とはいえません。

　また、お客様によってもEDRやMDRの料金が高いか安いかの判断基準は異なってきます。つまり、例えば、24時間体制で対応できる従業員の配備やそのための教育コスト、従業員維持（退職）のリスクなども総合的に考慮したうえで、EDR製品やMDRの費用を考える必要があります。セキュリティ専任者を置くことなく、24時間365日体制でEDRを通じたセキュリティ監視を実現するMDRの価値をどう見るかは、お客様の判断に委ねられているということです。

　とはいえ、ITソリューションのコストパフォーマンスは、他よりも優れたものであることが大切です。近年ではコストを抑えたMDRも提供されています。

　イーセットが2024年1月に発売した「ESET PROTECT MDR Lite」はコストパフォーマンスに優れたソリューションといえます。これは、次世代型EPPとEDRの機能、そしてMDRサービスを、中小規模の企業・組織に向けて一体化させたものです。MDRのサービスとして「24時間365日のセキュリティ監視」や「インシデント発生時の初動対応」「集計レポートの提供」などを行い、50ユーザーライセンスからお使いになれます。

　ESETが提供するXDRの特徴をわかりやすくまとめた資料はこちらからダウンロードできます。

　ご興味があれば、イーセットまでお問い合わせください。