サイバー攻撃の手法は日々進化しており、様々な攻撃に対応するため、攻撃を防ぐだけでなく、攻撃されることを前提とした対策も重要になっています。
この対策として注目されているソリューションが、EDRです。
この記事で、「EDRってなんかセキュリティ系の用語だよね」レベルの知識から、「なぜ必要なのか?」まで解説できるようになりましょう。
EDRとは?
EDRとは、「Endpoint Detection and Response」の略称で、エンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを検知し(=Detection)次第対処する(=Response)ソフトウェアのことです。
と言っても「エンドポイントって何?」となると思いますが、エンドポイントとは、PC、サーバー、スマートフォン、タブレットなどのネットワークに接続されているユーザー端末のことを指します。
ネットワークを線としてみたときに、その終結点にある機器というイメージですね。
セキュリティ対策にはざっくり分けると侵入防止系と監視、対応系の2種類に分けられますが、EDRは「検知、対応」の部類にあたります。
具体的には、エンドポイントの各端末にセンサーエージェントを導入し、そこから上がってくる情報を検知サーバーでリアルタイムに監視します。
EDRの機能は?
EDRの機能は、大きく分けると、①検知、②調査、③対処、復旧のフェーズに分けられます。以下それぞれの機能について説明します。
①検知
一つ目は、検知です。端末のログを常時監視し、異常な動作の検知を行います。
異常な動作とは、具体的には、ウイルス対策ソフトをすり抜け、侵入してしまったマルウェアの動きなどです。エンドポイントに侵入してしまったマルウェアの異常な動作を早急に検知することで、インシデントの発生を初期段階で差し止めることが可能です。
②調査
二つ目が、調査です。①で検知したマルウェアの種類を特定し、侵入経路、侵入目的などを明らかにします。この際、情報漏えいの有無・情報漏えいしたものが何かなどの情報収集も行い、被害状況を把握します。
③対処、復旧
三つ目が、対処、復旧です。②でマルウェアの種類や被害状況が特定でき次第、迅速に対処、復旧を目指します。攻撃を受けた端末を隔離、危険なファイルを削除し、端末の復旧まで行います。
EPPとの違いは?
よく似たセキュリティ用語に、EPPというソリューションがあり、EDRと混同されがちです。
EPPは、「Endpoint Protection Platform」の略称で、エンドポイント保護プラットフォームと呼ばれます。
両方とも同じくエンドポイントに関するセキュリティソリューションですが、EPPはマルウェアに感染しないための「保護」なのに対し、EDRはマルウェア感染後に迅速に「対処」し、被害を最小限にすることを主目的としたセキュリティ対策という違いがあります。
旧来から企業、個人問わず利用されてきたアンチウイルスソフトも、EPPの一種に分類されます。
なぜEDRが必要なのか?
EDRが何かはここまででご理解いただけたかと思いますが、ではなぜ今EDRが必要なのでしょうか?
一言で言うと、「サイバー攻撃の手法が高度化し、侵入される前提の対策が必要だから」です。
最近話題のゼロトラストセキュリティの概念にも通じますが、今やいくら侵入を防止しても、100%攻撃を防ぐことは不可能に近くなっています。そこで、ただ防ぐだけでなく、侵入された場合にいかに早く対処し被害を最小限にするか、が重要になってきているのです。
そこで、エンドポイントにおいてその役割を担うのがEDRになります。
ちなみに、ゼロトラストセキュリティについてはこちらで詳しく解説しているので、合わせて読んでみてください。
おわりに
いかがだったでしょうか。
今やEDRは必須のセキュリティ対策となっています。
これだけで全てのセキュリティ対策がOK!というものは残念ながらありませんので、他のソリューションとの違い、役割をしっかり理解し、うまく組み合わせていくことが必要です。
コメント