EDRとは
Endpoint Detection and Responseは、ツールのカテゴリの1つであり、コンピューターワークステーションやその他のエンドポイントの脅威に関連する情報を継続的に監視するツールを指します。EDR の目的は、セキュリティ侵害をリアルタイムに識別し、潜在的な脅威に対する迅速な対応を明確化することです。EDR は、ETDR(Endpoint Threat Detection and Response)と呼ばれることもあり、一連のツールの機能を指しますが、各機能の詳細は実装によって異なる場合があります。
スマートフォン、防犯カメラ、スマート冷蔵庫、サーバーに共通する点は何でしょうか。これらはすべて、サイバー犯罪者がネットワーク、データ、アプリケーションにアクセスして深刻な損害をもたらすために使用できる可能性のあるエンドポイントです。
現代ほど、エンドポイントの安全性を保つことが重要な時代はありません。サイバー犯罪は増加の一途をたどっており、法律、評判、業務、財務など、侵害がもたらす影響はますます深刻になっています。さらに、特にモノのインターネットや、新しい働き方、新しい会社のシステムへの接続方法により、エンドポイントの規模は拡大し続けており、エンドポイントセキュリティに対する包括的なアプローチが、ビジネスにとってますます必要不可欠なものとなっていることは明らかです。
Endpoint Detection and Responseはエンドポイントの検知と対応を意味し、短縮形はEDRです。サイバーセキュリティ市場でEDRが脚光を浴びていますが、多くの組織にとっては驚くことではないでしょう。Grand View Researchによると、2022年の時点でEndpoint Detection and Responseツールの世界全体の市場規模は30億ドル未満ですが、2020年代の終わりまで年率22.3%で成長すると予想されています。
このブログでは、Endpoint Detection and Response(EDR)に関するいくつかの重要な疑問にお答えしています。セキュリティにおけるEDRとは何かを解説し、その仕組み、現代のビジネス環境においてEDRが重要である理由、そして候補となるEDRパートナーのどこに注目すべきかについて説明します。
サイバーセキュリティにおけるEDRとは
EDRという用語を初めて使用したのはGartnerで、2013年のことでした。それ以降EDRは、エンドポイントからの脅威や侵入を防ぐことでデータ、アプリケーション、システムの安全性を保つという、一般的に使用される手法となりました。
EDR システムの細かな詳細や機能は、実装によって異なる場合があります。EDR の実装には、次の要素が含まれている場合があります。
- 特定の目的に対応した専用ツール
- セキュリティ監視ツールを構成する小規模なコンポーネント
- 相互に組み合わせて使用される、緩やかなツールの集まり
攻撃者は攻撃手法を進化させ続けているため、従来の保護システムでは十分でない可能性があります。EDR は高度な脅威に対する保護の一形態であるとサイバーセキュリティの専門家は考えています。
EDR の仕組み
従業員が日常的に使用するコンピューター、ノートPC、スマートフォンからデータセンターのオンプレミスサーバーまで、あらゆるエンドポイントをEDRで保護することができます。EDRは、次の4ステップのプロセスで、これらすべてのエンドポイントのリアルタイムの可視化およびプロアクティブな検知と対応を実現します。
エンドポイントのデータの収集と送信
データがエンドポイントレベルで生成されます。これは通常、通信、プロセスの実行、およびログインで構成されます。このデータは匿名化されて、一元化されたEDRプラットフォームに送信されます。このプラットフォームは通常、クラウドに設置されますが、組織の特定のニーズに応じて、オンプレミスまたはハイブリッドクラウドとして稼働させることもできます。
データ分析
優れたEndpoint Detection and Responseツールでは、このデータを分析し、ふるまい分析を実行するために機械学習を使用します。これにより、通常のアクティビティのベースラインが確立されるため、比較によって異常なアクティビティをより簡単に検知して、特定することができます。多くの高度なEDRサービスでは、を使用して、実際のサイバー攻撃の事例に基づいて情報にさらにコンテキストが追加されます。
疑わしいアクティビティのアラート
その後、疑わしいアクティビティにフラグが立てられて、セキュリティチームやその他の関連するステークホルダーに示されて、あらかじめ定められたトリガーに従って自動化された対応が実行されます。たとえば、EDRソリューションによって特定の感染したエンドポイントが自動的に隔離されて、手動による措置が行われる前に、マルウェアがネットワーク全体に広がるのを未然に防ぐことができます。
データ保持
アラートによってセキュリティチームは対応、復旧、修復のためのあらゆる措置を講じることができますが、さらにEDRソリューションによって、脅威の検知プロセスで生成されたすべてのデータがアーカイブされます。将来的に、既存または長期にわたる攻撃の調査や、以前は検知できなかった脅威の特定にこのデータを役立てることができます。
現代のビジネスにおいてEndpoint Detection and Responseが重要である理由
エンドポイントは、サイバー攻撃における最も一般的でぜい弱な経路の1つです。このことがサイバー犯罪者が絶えずエンドポイントを標的としている理由です。このリスクは、ここ数年、リモートワークやハイブリッドワークが増加したことで、企業のシステムやデータにアクセスするインターネット接続デバイスが増えたため、高まる一方です。これらのエンドポイントは、オフィス内で稼働する企業用デバイスとは保護のレベルが異なることが多いため、攻撃が成功するリスクが大幅に高くなっています。
同時に、保護が必要なエンドポイントの数も増え続けています。Statistaによると、世界全体のIoT接続デバイスの数は、2030年までに290億台以上に達し、2020年のIoT接続デバイスの3倍になると推定されています。つまり、攻撃者がぜい弱なデバイスを見つける機会が増えることになります。そのため、ネットワークの規模に関係なく、すべてのエンドポイントを網羅するよう高度な脅威検知を拡張するために、EDRが重要となっているのです。
また、データ侵害が発生した場合の修復は困難でコストが高くつく可能性があり、これがEDRが必要とされる最大の理由かもしれません。EDRソリューションが導入されていないと、どのような対応を取るべきかを判断するために数週間かかる場合もあり、マシンのイメージを再作成するしか解決方法がない場合も少なくありません。そうなると、生産性が低下し、経済的損失が生じ、被害が大きくなる可能性があります。
EDRと従来のアンチウイルス製品との違い
EDRとアンチウイルスの重要な違いは、それぞれのシステムのアプローチにあります。アンチウイルス製品は、既知の脅威や異常に対してのみ作用します。そのデータベース内のデータに一致する脅威を検知した場合に初めて反応し、セキュリティチームに問題のアラートを発することができます。
一方、Endpoint Detection and Responseツールのアプローチは、それよりもはるかに事前対応的です。実行されている新しいエクスプロイトを特定し、アクティブなインシデントにおける攻撃者の疑わしいアクティビティを検知します。
EDRとXDRの違い
従来型の EDR ツールは、エンドポイントのデータのみを対象とし、疑わしい脅威を可視化します。イベントの過負荷、ツールの対象範囲の狭さ、連携の不十分さ、スキル不足、時間の不足など、セキュリティチームの課題が変化し続けるのに応じて、EDRソリューションも変化を続けています。
一方で、XDR(Extended Detection and Response)は、EDR(Endpoin Detection and Response)よりさらに新しいアプローチです。「X」は「extended」を表し、分離されたサイロ内の脅威の調査には制限があることを認識したうえで、ネットワーク、クラウド、サードパーティ、エンドポイントデータなど、あらゆるデータソースを対象とすることを意味します。XDRシステムでは、分析、ヒューリスティック、自動化を組み合わせて、これらのソースからインサイトを抽出するため、サイロ化されたセキュリティツールよりもセキュリティが強化されます。その結果、複数のセキュリティ運用環境にまたがる調査が簡素化され、脅威の発見、調査、対応にかかる時間が短縮されます。
Endpoint Detection and Responseツールのどこに注目すべきか
EDR の機能はベンダーによって異なります。そのため、組織で使用する EDR ソリューションを選択する際には、提案されたシステムの機能、および既存のセキュリティ機能との全体的な連携について予め調査しておくことが重要です。
理想的なEDRソリューションは、必要な作業と投資を最小限に抑えながら、最大限の保護を実現するものです。時間を無駄にすることなく、セキュリティチームをサポートして付加価値をもたらすソリューションが望まれます。以下の6つの重要な要素に注目することをおすすめします。
1.エンドポイントの可視化
すべてのエンドポイントが可視化されることで、潜在的な脅威をリアルタイムで確認でき、速やかに脅威を阻止することができます。
2.脅威情報のデータベース
EDRが有効に機能するには、エンドポイントから収集した大量のデータが必要です。EDRではそのデータをコンテキスト情報で補足し、分析により攻撃の兆候を特定できるようにします。
3.ふるまいに基づく保護
EDRには、実際にセキュリティ侵害が発生する前に、攻撃の痕跡(IoA)を見つけ、疑わしいアクティビティに関するアラートを関連するステークホルダーに通知する、ふるまいに基づくアプローチが含まれます。
4.インサイトとインテリジェンス
脅威インテリジェンスと連携するEDRソリューションは、疑わしい攻撃者に関する情報やその他の攻撃に関する詳細情報などのコンテキストを提供できます。
5.迅速な対応
インシデントに対する迅速な対応を実行できるEDRでは、攻撃がセキュリティ侵害につながる前に防止することができ、組織の正常な運用を継続するのに役立ちます。
6.クラウドベースのソリューション
クラウドベースのEDRソリューションでは、エンドポイントにまったく影響を与えることなく、検索、分析、調査の機能を高精度かつリアルタイムに継続的に実行できます。Kaspersky Next EDR OptimumなどのEDRソリューションは、複雑な標的型脅威によって業務が中断するのを防ぎ、ネットワーク全体の包括的な可視性を実現し、単一のクラウドベース管理プラットフォームからセキュリティを管理する場合に理想的です。
関連製品:
関連記事:
