• 会員限定
  • 2022/07/22 掲載

EDRとは何かをわかりやすく解説、製品比較・選定で押さえるべき5つのポイント

連載:デジタル・マーケット・アイ

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
テレワークの普及によって、従業員が利用するPCやスマートフォンをはじめとするエンドポイントが狙われる危険性も高まっています。そこで注目を集めているのが、エンドポイントのセキュリティを守るEDR(Endpoint Detection and Response)です。そこで、ここではEDRの基本知識・市場規模、主要機能などについて解説するとともに、IDC Japan ソフトウェア&セキュリティ リサーチマネージャー赤間健一氏にEDR市場の動向や製品選定のポイントなどを聞くとともに、サイバーリーズンやマイクロソフト、クラウドストライクなどの代表的なツールベンダーの動向を合わせて紹介します。
画像
EDRとは何か? 基礎知識から製品選定に役立つポイントまで解説
(Photo/Getty Images)


EDRとは何か?従来のアンチウイルスの「次の段階」

 EDR(Endpoint Detection and Response:エンドポイントにおける検知と対応)とは、PC、スマートフォン、タブレットなどエンドポイント端末での不審な挙動を検知して、管理者や利用者が迅速に対応するためのソリューションです。

 管理者は不審な挙動に関する通知を受け取ったあと、EDRで取得したPCや通信のログを取得・分析し、侵入経路の調査や不審なファイルの特定などの対策を行います。

「EDRは、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム、従来型のアンチウイルス製品)の次の段階のエンドポイント保護ソリューションと言えます。EPPとセットで利用することが前提で、EPPの検知をすり抜けたサイバー攻撃であっても、不審な挙動や疑わしいファイルを検知・対応できることがあります」(赤間氏)

EDRとEPPや次世代アンチウイルス(NGAV)との違い

 EDRとEPPはエンドポイントを守るという点では同じですが、EPPが「マルウェアの侵入を防ぐ」ことを目的とするのに対し、EDRは「侵入を検知し、即座に対処できるようにする」ことを目的にしている点に違いがあります。

 EPPの主なウイルス検出方法は、「シグネチャ方式」と「ふるまい検知方式」に分けられます。「シグネチャ方式」は、パターンにマッチングするものをフィルタリングして防御する方法で、これは未知のマルウェアを検出することが困難でした。

 その弱点をカバーするものとして、マルウェアの動きを観察し、検出する「ふるまい検知方式」が備わるようになりました。ただし、現在のEPPは両方の方式を搭載するものがほとんどです。

「攻撃者は、標的のユーザーがどのウイルス対策製品を使用しているかを事前に把握し、そのウイルス対策製品のパターンファイルが対応していないマルウェアを作って送り込むこともあります。既知のウイルスを検知するためにシグネチャ方式はもちろん必要ですが、今はそれだけでは侵入を防ぐことはできないと考えたほうがよいです」(赤間氏)

 EDRがEPPより高度である点は、「シグネチャ方式」と「ふるまい検知方式」の2つの防御網から漏れてしまった場合でも、侵入者を検知できるところです。侵入者のログをメモリやファイル、ネットワーク上で収集し、不審な動きがあった場合はリアルタイムに管理者へ通報します。たとえ侵入されたとしても、速やかに対策すれば被害が出る前に対応、もしくは被害を最小限に抑えることができるというわけです。

 また、「次世代アンチウイルス(NGAV:Next Generation Antivirus)」という言葉が使われることもあります。NGAVとは、従来エンドポイントを保護する方法として活躍していたEPPを含むアンチウイルス(AV)製品が、高度化する脅威に十分に対抗できなくなった結果、従来のAV製品にAIや機械学習といった先進技術を組み込み、未知のマルウェアに対しての検知を強化した製品を指します。

 NGAVにも明確な定義はありませんが、目的はEPPと同じで「マルウェアの侵入を防ぐ」ことです。高度化する脅威に対抗するために、製品の技術も進化し、昨今のEPP製品はほとんどがNGAVであると言えるなど、製品の境界はあいまいになってきています。

EDRが必要とされる理由

 EDRが生まれた背景として、近年、サイバー攻撃が高度化・巧妙化していることが挙げられます。ランサムウェアなど、従来のEPP製品では検知できない未知の攻撃が増えているため、侵入を防ぐことが難しくなってきているのです。もはや侵入が避けられないのであれば、早期検出に努め、被害を最小限に抑えることを前提としたセキュリティ対策とし、早期の侵入検知と対策を可能とするEDRはエンドポイントのセキュリティを強化します。

「現在は、侵入前提でのセキュリティが標準的な考えとなっています。ウイルスの侵入を100%防ぐことはもはやできないため、防御にコストとエネルギーを費やすのであれば、侵入されても最終的に情報資産をとられないような早期の検出と対応をできたほうが、よりリーズナブルなのです」(赤間氏)

画像
大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数は約5180億パケット。これは、3年前の2018年と比較すると2.4倍の数字。
2021年が2020年から減少している要因としては、2020年は大規模なバックスキャッタや大量の調査スキャンなどの特異的な事象が観測されたため、例外的にパケット数が多かったものと推測される
(出典:総務省『令和4年版情報通信白書』)

 もう1つの背景として、クラウドサービスやリモートワークが普及したことも、EDRの市場拡大と関係しています。働く場所が自宅や、社外まで広がったことによって、テレワーク端末がインターネット経由で攻撃にあう危険性が高まっています。

 たとえば、リモートワークで使用しているPCがマルウェアに感染していることに気づかずに、VPNを経由して社内ネットワークに接続してしまうと、機密情報がある社内ネットワークにウイルスの侵入を許してしまいかねません。攻撃対象になりやすいエンドポイントまで含めて、しっかりセキュリティ対策をとることが喫緊の課題となっているのです。

 「ゼロトラスト」という概念も、このような背景から注目されるようになりました。

「侵入を前提とする『ゼロトラスト』の考え方は、コロナ禍におけるテレワークの普及以前からありました。クラウドシフトが大きく進んだことに伴い、VPN経由だけではなくクラウドサービスなどダイレクトにエンドポイントが情報資産にアクセスすることが増えました。アタックサーフェースが増加し、それらを狙った攻撃も増え、今までのVPNやゲートウェイセキュリティソリューションだけの境界防御のセキュリティ対策では不十分になってきたため、すべてのアクセスを信頼せず都度認証していこうという考え方にシフトしている背景があります」(赤間氏)

EDRの主な機能

 EDRにはさまざまな機能があり、製品によっても異なりますが、主な機能は次のように整理できます。

1)サイバー攻撃の兆候を検知する
 エンドポイントのログデータを一元的に保存し、動作を分析して悪意のある活動を検出することによって、侵入者の兆候を早期に察知し、既知および未知のマルウェアの攻撃から保護します。

2)ネットワーク全体を監視して防御する
 マルウェア攻撃を検出した場合、ブロック、削除を自動的に行います。中にはマルウェアによる変更を特定し、修復手順も提供するものもあります。エンドポイント端末が社外にある場合でも、リアルタイムに不審なデータの収集ができます。

3)攻撃の原因、プロセスなどを可視化する
 攻撃の原因探索や、行動分析するための管理コンソールを持ちます。攻撃者の行動がプロセスツリーなどで可視化されるため、管理者がインシデントの原因を特定する作業を効率化します。

4)その他の機能
 脅威インテリジェンス/レピュテーションサービスを統合するオプションを用意しているものや、監視対象のエンドポイント端末への負荷を抑えるものもあります。

EDRを含むエンドポイントセキュリティ市場の推移

 IDCの調査によれば、2021年の国内セキュリティソフトウェア市場における、エンドポイントセキュリティソフトウェアの市場規模は1,443億円、2026年にかけての年平均成長率(CAGR)は4%の見込みでした。

画像
国内エンドポイントセキュリティソフトウェア市場の売上額予測
(出典:IDC)

 EDRを含むエンドポイントセキュリティ製品の売上金額は、セキュリティソフトウェア市場の中で、最も大きくなっています。にもかかわらず、これだけ成長を続けている点から見ても、エンドポイントセキュリティが、いかにサイバー攻撃対策として重要視すべきかが分かるでしょう。

「エンドポイントセキュリティソフトウェアの4%というCAGRは、他のカテゴリーと比べると、それほど大きくはありません。しかし、これだけの規模の市場で、毎年安定的に成長していることは特筆すべきです。それくらいエンドポイントのセキュリティは、投資の必然性が高い領域になってきているということでしょう」(赤間氏)

 このほかセキュリティ市場では、アイデンティティ/デジタルトラストソフトウェアが、クラウド市場の伸長に伴って8.1%の成長率が予想されています。またネットワークセキュリティソフトウェアのマーケットも、ゼロトラスト需要によって6.1%と大きな成長性が期待されています。

EDR主要ベンダー

 EDR製品の主要ベンダー/プレイヤーを紹介します。各社ともハイレベルな戦いをしており、テクノロジーにあまり大きな差は見られません。赤間氏は、「導入後の運用の考え方が合うかどうかが大切」とアドバイスしています。

「社内のSOC(Security Operation Center)が24時間体制で監視できる場合は、大規模企業に導入実績の多いサイバーリーズンやマイクロソフト、マカフィー、トレンドマイクロのような製品の導入が選択肢となります。しかし、そうでない場合は、セキュリティの運用負荷を考慮し、各社の製品を利用したマネージドセキュリティサービスが候補に上がるでしょう」(赤間氏)

EDR市場の主要プレイヤーと製品・サービス
企業名 製品・サービス名
サイバーリーズン Cybereason EDR
マイクロソフト Microsoft Defender for Endpoint(MDE)
クラウドストライク CrowdStrike Falcon Insight
マカフィー McAfee MVISION EDR
トレンドマイクロ Apex One Endpoint Sensor
センチネルワン SentinelOne
チェック・ポイント・ソフトウェア・テクノロジーズ Harmony Endpoint
ヴイエムウェア VMware Carbon Black
ブロードコム Symantec Advanced Threat Protection
パロアルトネットワークス Cortex XDR
ソフォス Intercept X Endpoint
シスコ Cisco Secure Endpoint
(出典:IDCへの取材を基に編集部作成)

【次ページ】主要プレイヤーと製品の特長をそれぞれ解説、導入・選定でチェックしたい5つのポイント
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます