EDRとは何？ 機能やEPPとの違い、導入費用を解説

EDRとは

EDRとは、「Endpoint Detection and Response」の略称で、エンドポイントで問題の検知や対処を行い、セキュリティを確保するソリューションのことです。IT用語における「エンドポイント」は、ネットワークの末端に接続された端末や機器を指す言葉で、PCやスマートフォン、サーバーなどが該当します。

EDRとEPP・NGAVの違い

EDRとよく似た用語として、「EPP」があります。EPPは「Endpoint Protection Platform」の略称で、EDRと同様に、エンドポイントのセキュリティ保護を目的としたソリューションです。EDRはエンドポイントに侵入したマルウェアの対処が目的であるのに対し、EPPはそもそもマルウェアを侵入させないことを目的としている点が、両者の主な違いです。組み合わせて使用することで、EPPでマルウェアの検知・ブロックを行い、それでも防ぎ切れず侵入したものをEDRが隔離する、という仕組みを実現できます。

また、EPPの一種に「NGAV（Next Generation Anti-Virus）」があります。従来のアンチウイルスソフトウェアでは既知のマルウェアしか防げなかったところ、未知のマルウェアも検出できるツールとして誕生したのが次世代型のNGAVです。

従来型のアンチウイルスソフトウェアは、データのパターンから脅威を判断する「パターンマッチング」を主に採用していましたが、NGAVは「挙動」に着目してブロック対象を検知する仕組みです。代表的な機能として、機械学習を活用してプログラムの不審な挙動を検知する「ふるまい検知」を備え、怪しい挙動から未知のマルウェアを発見して侵入を防ぎます。

EDRが注目されている理由・背景

前述のとおり、マルウェアの侵入自体を防げるEPPが進化を続けるなか、EDRが注目されていることにはどのような理由があるのでしょうか。その背景には、以下の2点のような時代の変化があります。

1．サイバー攻撃の巧妙化による、セキュリティへの考えの変化

近年、サイバー攻撃は増加傾向にあり、手口も巧妙化しています。テクノロジーの発達によって攻撃が高度化、多様化している上に、既存のマルウェアを基に新たなマルウェアを作成することも容易になりました。

こうした状況では、NGAVを利用しても、チェックをすり抜けてマルウェアが侵入する可能性があります。「感染しないこと」だけを重視して対策を行っていると、いざマルウェアが侵入した際に対処が遅れ、被害が拡大してしまいます。

そのため、「侵入されることを前提に、被害を最小限に抑えるための対策」を取り入れることが重要視されるようになり、EDRの必要性が高まっています。

2．テレワークの普及によるネットワーク環境の変化

従来のセキュリティ対策は、「社内」と「社外」の境界で脅威をブロックする「境界型防御」という考えを基本としていました。しかし、新型コロナウイルス感染症の拡大や働き方改革の影響でテレワークが普及したことにより、社外のネットワークを利用する機会が増え、境界型防御ではセキュリティを担保できなくなりました。

境界型防御は「社内ネットワークは安全」という信頼の下で成り立っていましたが、これからのセキュリティ対策に必要なのは「ゼロトラスト（何も信頼しない）」という概念です。このような背景から、EDRによって利用端末それぞれに対策を施すことが重要視されています。

EDRの機能とは

EDRには、一般的に以下のような機能が備わっています。

• 各エンドポイントの監視、ログの記録
• サイバー攻撃の疑いがある挙動の検出・隔離
• ログの分析
• 攻撃を受けた場合に影響範囲を特定・修復

中でもEDRの基本的な機能として知られているのが、エンドポイントの監視とログの記録です。この機能では、エンドポイントとなるデバイスにアプリケーションを導入し、操作や動作のログをリアルタイムで監視・記録します。これにより、デバイス内にある情報の持ち出しや攻撃の横展開を検知できます。

攻撃の横展開とは、侵入したシステムからネットワーク上に広がるように攻撃範囲を拡大していく手法のことです。被害の範囲を最小限に抑えるためには、横展開を早急にブロックすることが重要です。

EDR導入にかかる費用・期間

EDRの導入を検討する際は、費用や期間がどのくらいかかるのか、事前に確認しておくことが大切です。実際にかかるコストは、組織の規模や利用する製品により異なるため、ここではおおまかな目安をご紹介します。

導入費用

EDRの一般的なライセンス費用は、専門組織による検知・分析のサービスがセットになったもので1台あたり月額500円程度、年間6,000円程度といわれています。ただし、実際はライセンス費用のほかにも、必要に応じてインフラ整備や導入支援、運用・管理などの費用がかかる点に注意が必要です。

自社が希望する契約形態や、契約予定の端末数、追加で検討したい機能やサービスを踏まえて予算を組むことが重要です。

導入期間

導入までの期間は、契約から２か月程度かかるのが一般的です。拠点数や契約する端末数が多い場合には、その分期間が延びることが想定されます。実態に合ったスケジュールを組めるよう、サービス提供事業者としっかり打ち合わせを行うことが推奨されます。

EDRを導入する際の注意点

EDRは攻撃を受けた後の対処を目的としているため、攻撃自体を防ぐにはEPPなどと組み合わせる必要があります。

さらに、効果を最大限に発揮できるよう、自社の業務や環境に合った製品の選択や、社内のセキュリティ意識の向上、専門知識のある人材の育成、外部サポートとの連携などを心掛けることも大切です。個人情報保護のため、収集したログデータを適切に管理することも求められます。

また、EDRを導入すると端末に負荷がかかります。負荷が大きいと業務に支障が出る可能性があるため、その点にも注意が必要です。

EDRの選び方

EDR製品には多数の種類があり、機能や特徴がそれぞれ異なります。導入する製品を選択したり、運用環境について検討したりする際は、以下のようなポイントを事前に確認しておくと、導入後により効果を発揮しやすくなります。

1．製品ごとの機能の違い

「必要な機能は備わっているか」「最新の脅威を検知できるか」「ログの分析精度や、影響範囲の調査機能は十分か」など、機能面が満足できるものであるかを確認しておくことは重要です。

また、エンドポイントのセキュリティ以外の領域をカバーできる製品も増えているため、なるべく幅広い領域に対応した製品を選ぶのが良いとされています。

2．管理サーバーの形式

EDR製品を利用するためには、ログを監視する管理サーバーが必要になります。管理サーバーは、自社内に構築するケースとクラウド形式で提供されるものを利用するケースがあります。

クラウド形式の方が運用の負担やコストは抑えやすいものの、自社内でログを管理したい場合はクラウドでは対応できないため、メリット・デメリットを踏まえて選択します。

3．自社の環境との相性

製品により、対応しているサーバーやOSの種類などが異なります。特に自社で特殊なOSを利用している場合などは導入が困難なケースもあるため、事前に確認が必要です。

また、ログの記録や分析を行う際には自社のネットワークに負荷がかかるため、既存の環境への影響などをチェックしておくことも大切です。

4．ほかのセキュリティ対策との組み合わせ

EDRはほかのセキュリティ対策と組み合わせて使用することが推奨されますが、製品同士の相性が悪いケースなどもあるため、組み合わせについても導入前に確認しておく必要があります。

中には、EDRとEPPがセットになっている製品や、EDRとほかのセキュリティ対策を統合管理できるソリューションなども存在します。

まとめ

EDRの機能やEPPとの違い、導入前に確認しておきたいポイントや注意点などをご紹介しました。EDRは、脅威の侵入自体を防ぐことはできないものの、近年のセキュリティ対策において欠かせない存在といえます。

EDRの真価を発揮するためには、機能や背景について正しく理解した上で、どのような形で導入するかを検討することが重要です。今回ご紹介した内容が、導入を検討する際のご参考になれば幸いです。