EDR(Endpoint Detection and Response)とは

EDR(Endpoint Detection and Response)とは、「エンドポイントの検出およびレスポンス」と訳され、エンドポイントセキュリティのうち、セキュリティの脅威を検知し、対応を支援することを指す。EDR製品とは、ウィルス感染をいち早く検知し、感染後のインシデント対応をサポートすることを主目的とした製品あるいはソリューションのことをいう。

ネットワークに接続されたパソコンや、スマホ、タブレットなどのモバイル端末、サーバーなどのエンドポイントを調査、インストールされているアプリケーションや通信ログ、起動プロセスなどの情報を収集、解析することでサイバー攻撃の侵入原因や経路、被害状況を可視化し、インシデントレスポンスを支援するものだ。

EDRを利用したエンドポイント解析で可視化されるのは大きく以下の2点だ。1つは、ウィルスに感染し、不正アクセスの痕跡がある端末の可視化だ。たとえば、ファイルやハッシュ値などの情報から、ウィルスが社内のどの端末に潜んでいるか、あるいはC&CサーバーのURLなどから、どの端末がC&Cサーバーにアクセスしたかがわかる。

もう1つは、侵入原因や経路、被害の可視化だ。ウィルスへの感染から、どんな処理(プロセス)を行い、どんな情報を外部に送信したかが把握できる。EDR製品の中には、ウィルスと思われるプロセスが動いているエンドポイントに対し、管理者がリモートでプロセス停止を実行できる機能を持つものもある。

これにより、標的型攻撃メールなどでウィルスに感染した場合に、EDRで幅広くエンドポイントを調べることで、「どの端末が標的型攻撃メールを受信したか」「どんなウィルスに感染したか」「どんな被害があったか」といった原因と被害状況の特定を迅速に行うことが可能になる。

マルウェア対策製品をはじめとする従来のエンドポイント製品は、ウィルスの検知や感染防止を主眼にしている。これに対し、EDR製品は、不正な挙動を検知し、ウィルスに感染した後の対応の支援を目的にしている。つまり、EDR製品は、従来のエンドポイント製品ではカバーしきれなかった領域をカバーするものだ。

標的型攻撃をはじめ、サイバー攻撃の脅威が高まっている。こうした脅威に備えるためには、不正侵入を防ぐ入口対策だけでなく、社内、社外のネットワークに接続されるエンドポイントに対して、多層的なセキュリティ対策を実施することが求められる。EDRは、企業がネットワークに侵入されることを前提に、原因や被害状況を迅速に調査し、被害を最小限に抑えるための対策と位置づけることができる。

セキュリティ用語辞典一覧ページへ

関連キーワード:
  • SQLインジェクションなどWebサイトの脆弱性の再点検についてIPAが注意喚起
  • カテゴリートップへ
  • 2017年1月のIT総括