「EDR」

こんにちは。「サイバーセキュリティフォローアップ事務局」です。

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。

これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本メールマガジンでは、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは、「EDR」です。

１．「EDR」とは

「EDR」はEndpoint Detection and Responseの頭文字をとった言葉です。

「Endpoint(エンドポイント)」は、ネットワーク上の1台1台のパソコン、スマホ、タブレット、サーバーを総称する言葉です。

皆さんの会社では、複数台のパソコンやスマホ、タブレット、サーバーが無線あるいは有線でネットワークに接続されていますね。

これらすべてのことを表しています。

EDRは、それぞれのエンドポイント端末において不審な挙動がないか監視（Detection）し、検知した場合、サイバー攻撃への迅速な対応（Response）を支援するためのセキュリティソリューションのことです。具体的には、次の３つのサービスで構成されています。

• 監視ソフト：エンドポイントにインストールする監視ソフト。
  ウイルスやマルウェアの活動、不審なファイル、外部との不適切な通信などを監視します。
• 制御サーバー：監視ソフトを制御し、異常を検出した場合、監視者に通知します。
  エンドポイントからのアラートを受信し、適切な対応を行うためのサーバーまたはサービス提供事業者のクラウドサービスです。
• サポートサービス：監視者（多くはシステム担当者）に必要な情報を提供。
  EDRの運用や対応に関するサポートを行います。

２．EDRの機能

皆さんのパソコンがコンピュータウイルス(以下ウイルスと略します)に感染したとします。

本来ならウイルス対策ソフトが働いてウイルスを隔離・駆除といったことが行われますが、これまでに見つかっていないウイルスなどの場合には検知できずにすり抜けることがあります。

こういった場合に活躍するのがEDRです。

ウイルスに感染したパソコンでは、様々な意図しない処理が始まります。

• ウイルスが検知されないようにシステムの一部を書き換えます。
• ほかのパソコンに自分のコピーを配布しようとします。
• インターネットのサイトにアクセスして不正なソフトをダウンロードし、インストールしようとします。
• パソコンにある情報を外部のサイトにアップロードする、などです。

EDRはこれらに対処するため、以下の動作をします。

1. 監視ソフトによるウイルス等によるパソコンファイルの変更、外部との不適切な通信などを検知し、制御サーバーへ通知
2. 制御サーバーによる監視者への通知、EDRとして可能な範囲での異常事態への対応（例えば、該当パソコンの通信の遮断、ウイルスの除去など）
3. 監視ソフト、制御サーバーだけではできない状況の監視者・エンドポイント利用者への通知、契約によっては人手による復旧

同じようなことがインターネットを通じた不正侵入などの場合でも行われます。

３．EDRの導入に当たっての注意点

EDRだけを導入したからと言って、そのほかのセキュリティ対策が不要になるわけではありません。

ウイルス対策ソフト、ネットワーク監視のための仕組みなどについては必ず何らかの対策が必要です。

また、EDRはサービス事業者により提供される機能の範囲が異なります。

自社に適合する、EDRを選定する必要があります。

EDRから通知されたセキュリティの異常に対しては、導入した企業側での対応が原則です。

したがって、導入した企業側にも何らかの体制を準備することが必要です。

４．最後に

注意点で述べたように導入が難しい部分もあります。

ただ、現在のウイルス対策ソフトだけでは、侵入された後の対応が難しくなっているのも現状です。

内部に侵入されてしまった場合の迅速な対応による被害の拡大を防ぐための有効なソリューションとしてEDRは注目されています。

最近は、AIを使ってランサムウェアを作ったとの事件も報道されています。
また、企業情報を狙うために特別なウイルスが作成されることもあります。

EDRは企業のセキュリティレベルを上げるための有効な一つの手段なのです。

参考資料

1. EDRとは｜機能や効果、従来のウイルス対策ソフト（EPP）との違い
   https://www.ntt.com/business/lp/edr.html
2. エンドポイントでの検知と対応（EDR）とは
   https://www.crowdstrike.jp/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/
3. EDRとは？　概要から主なセキュリティ機能、EPPやアンチウイルスとの違いをわかりやすく解説
   https://frontier.networld.co.jp/useful-security/edr-overview/

５．事業紹介

今回はEDRについて解説しました。
そのソフトウェアが無償で3か月程度体験できる機会を、東京都が提供しています。

事業名：中小企業サイバーセキュリティ基本対策事業

セキュリティ機器（UTM）またはソフトウェア（EDR）を無料で3か月程度体験していただけます。
東京都内の中小企業様対象です。