EDR(Endpoint Detection and Response)とは?

昨年から日本のエンドポイントセキュリティ市場でも注目されているEDR(Endpoint Detection and Response)製品をご存知でしょうか。
マルウェアの検知はマルウェア検体をもとにシグニチャを作成して防御する機能を中心に発展してきましたが、昨今のマルウェアは標的型攻撃や多種多様な亜種を簡単に作成できるツールの存在などによりセキュリティ企業がマルウェア検体を入手することが困難な状況にあり、残念ながら「マルウェアに感染することが前提の対策が必要」という流れになっています。そこで今回は、マルウェア感染後の対応を迅速に行うためのEDR製品について解説します。

●従来のエンドポイントセキュリティ製品(Prevention:防止)

エンドポイントセキュリティ製品は、もともとシグニチャによるウイルス検知・防止機能が主機能でしたが、脅威の変化とともに、アプリケーションコントロール、アンチスパイウェア、ルートキット対策、Webフィルタリング、パーソナルファイアウォール、デバイス制御、暗号化など、次々と機能を追加し総合対策製品として進化してきました。これらの機能は、「マルウェアに感染しないこと」を主目的としています。

●EDR製品(Detection and Response:検知と対応)

これに対して、EDR製品は、「エンドポイントでの脅威を検知し、対応を支援する」製品であり、エンドポイントの情報(インストールされているアプリケーション、ログ、起動プロセスなど)を収集します。管理者は収集した情報をもとに怪しいファイルやプロセスの特定や削除などの作業を一元的に管理できます。つまり、「不正な挙動の検知およびマルウェアに感染した後の対応を迅速に行うこと」を主目的とした製品です。EDR製品は、マルウェア感染は避けられない時代において、感染後のインシデント対応時間の短縮というニーズに答える製品と言えます。

従来のエンドポイントセキュリティ製品にはない、EDR製品で実装されている特徴的な機能として、下記の機能が挙げられます。

・ファイルやハッシュ値による検索
マルウェアとして報告が挙がっているファイルやハッシュ値をすべてのPCに対して存在の確認を実施し、従来のエンドポイントセキュリティ製品で検知できなかったマルウェアが存在するPCを特定する。
・プロセスの停止
マルウェアと思しきプロセスが動いているPCに対して管理者がリモートでプロセスを停止する。
・アプリケーションの情報取得
特定のバージョンのアプリケーションやパッチが導入されている(導入されていない)PCを特定する。

●従来のエンドポイントセキュリティ製品とEDR製品の違い

従来のエンドポイントセキュリティ製品は「マルウェアに感染しないこと」を担い、EDR製品は「不正な挙動の検知およびマルウェアに感染した後の対応を迅速に行うこと」と目的が異なっており、EDRは従来のエンドポイントセキュリティ製品でカバーできていなかった後工程を担う領域と言えます。
このように、それぞれの製品の得意領域が異なるため、従来のエンドポイントセキュリティ製品の代替としてEDR製品を利用するという使い方は適切ではありません。EDR製品はセキュリティインシデント対応業務を支援するための製品です。

●まとめ

EDR製品は「今、PCで何が起きているのか?」を可視化することができますので、数千~数万のPCを管理している会社にとっては、インシデント対応工数の面からも非常に有用な製品となりえます。翻って、数十から数百のPCを少数の拠点で管理している会社では、敢えてEDR製品を購入せずとも、セキュリティパッチの迅速な適用、適切なアカウント管理、各種ログの定期的な確認など、セキュリティ対策として基本的な運用を行うことで事足りるかもしれません。
自社のPC管理状況を今一度見直し、このような新しい領域の製品の導入要否をご検討ください。