Sophos Intercept X

EDRとは｜従来の定義型EPPとの違いとその必要性

2020.03.19

Blog

昨今はサイバー攻撃の手口が巧妙化しており、従来のセキュリティ対策ソフト（EPP：Endpoint Protection Platform）では脅威を100％防ぐことは不可能といわれています。そこで注目されているのが、脅威の検出と対処に重点を置いたEDRという製品です。

edrとは

EDRとは脅威の侵入を検出・対処するソフトウェア

EDR（Endpoint Detection and Response）とはパソコンやスマートフォンといったネットワークに接続された端末（エンドポイント）の挙動を監視し、脅威を検出・対処するセキュリティ対策ソフトです。EDRを利用することで、標的型攻撃やランサムウェアなどの脅威に迅速に対応し、被害を最小限に食い止めることができます。

EDRと従来の製品（EPP：Endpoint Protection Platform）との違い

EDRと従来のセキュリティ対策ソフト（EPP：Endpoint Protection Platform）では、製品の目的が異なります。アンチウイルスやファイアウォールなどの従来のセキュリティ対策ソフトは、マルウェアの感染を水際で防ぐことを目的としています。一方でEDRはマルウェアの感染を前提とした製品で、感染後の検出と対処に重点を置いています。それぞれ役割が異なるため、EPPをEDRに置き換えるのではなく、EPPとEDRを組み合わせてセキュリティ対策を行うことが望ましいといわれています。

EDRのニーズが高まっている理由

EDRに注目が集まっている理由は、「サイバー攻撃の巧妙化」や「働き方の多様化」によって、EPPが破られる危険性が高まっていることが挙げられます。

サイバー攻撃の巧妙化

非マルウェア攻撃やゼロデイ攻撃、標的型攻撃といった巧妙な手口を用いたサイバー攻撃が増えており、従来のEPPでは攻撃を防ぐことが難しくなっています。特に非マルウェア攻撃はマルウェア（不正プログラム）をダウンロードさせるのではなく、OSの標準機能を乗っ取って攻撃に使用するため、パターンマッチング方式でマルウェアを判別するEPPでは検出が困難です。

働き方の多様化、ソフトウェアのクラウド化

働き方の多様化やクラウドサービスの普及によって、セキュリティリスクが増しています。以前は外部のネットワークと社内ネットワークの境界を厳重に保護することで外部からの攻撃を防いでいました。しかし近年では、モバイル端末を利用して場所を選ばず業務を行えるようになり、業務システムを社内サーバーからクラウドサービスに移行する企業も増えています。外部ネットワークに接続する機会が多くなった結果、社内ネットワークの防御を固めるだけではマルウェアの侵入を防ぐことが難しくなっています。

EDRの導入メリット

EDRを導入することで、どのようなメリットがあるのでしょうか。

包括的な対策が可能

EDRによって、会社が保有する全てのエンドポイントの挙動を包括的にモニタリングすることができます。個々のエンドポイントではなく複数のエンドポイントのデータを関連付けて分析するため、インシデント発生時にも感染経路や感染範囲を素早く特定し、被害を最小限に抑えることができます。

インシデント発生時のコスト削減

インシデント発生時の調査や対策にかかるコストを削減することができます。サイバー攻撃を受けると、原因の調査や被害状況の把握、マルウェアの駆除、エンドポイントの復旧、関係者への報告、対策の実施などさまざまな業務が発生し、セキュリティ担当者に大きな負担がかかってしまいます。EDRを導入すればこれらの負担やコストを削減できます。

EDRに含まれる機能

予防

利用頻度の高いソフトウェアやアプリケーションを自動的にアップデートし、サイバー攻撃を予防します。それぞれのエンドポイントにインストールされているソフトウェアの状態を可視化し、強制的にアップデートさせることで、ソフトウェアの脆弱性を狙うゼロデイ攻撃のリスクを最小化できます。

監視・記録

エンドポイントの挙動を監視・記録します。起動中のアプリケーションや、ファイル操作、ネットワーク接続などを対象にログを記録し、エンドポイントが不審な挙動をしていないか監視します。

調査・分析

インシデント発生時にはエンドポイントのログを多面的に調査・分析し、マルウェアの感染経路や感染範囲、漏えいしたデータなどを特定します。

対応方法の提案

調査・分析の結果をもとに効果的な対応方法を提案・支援します。攻撃を受けているエンドポイントの隔離や復旧といったマルウェア感染後の対応を支援することで、被害の拡大を防ぎます。

脅威の侵入を完全に防ぐことが難しい現在、マルウェアに感染した後の検出・対処を迅速に行うEDRの必要性が高まっています。セキュリティリスクを最小限に抑えるために、従来のEPPに加えてEDRの導入を検討しましょう。

企業向けEDRソフトなら「Sophos Intercept X」が最適。根本原因解析機能によってエンドポイントの挙動を自動レポートし、マルウェアがどのプロセスから起動されたのか、どのようにしてデバイスに侵入してきたのかを可視化します。他社製のアンチウイルスソフトと共存可能で、柔軟に運用することができます。