エンドポイントでの検知と対応(EDR)とは

EDRの仕組み

EDRは、エンドポイントの不審なアクティビティーを継続的に監視し、データを収集して分析し、潜在的な脅威をリアルタイムで通知します。行動分析、機械学習、脅威インテリジェンス フィードなどを使用して、エンドポイントの動作の異常を特定し、悪意のあるアクティビティーを検知します。ファイルレス マルウェア攻撃など、基本的なウイルス対策では見逃されてしまうようなものにも対応します。

EDRの主な機能

EDRの機能はソリューションによって異なりますが、EDRの重要な要素には以下のようなものがあります。

• リアルタイムでのエンドポイントの監視、可視化、アクティビティーの記録：エンドポイントの不審なアクティビティーを継続的に監視し、エンドポイント データを収集して分析することで、潜在的な脅威を迅速に検知して対応できるようにします。
• 統合された脅威インテリジェンスによる高度な脅威検知：人工知能や機械学習を活用しながら、高度な技術と脅威インテリジェンス フィードによって、存在すら知られていなかった潜在的な脅威を特定し、アラートを発します。
• 調査とインシデント対応の迅速化：EDRのツールとプロセスは管理を簡素化するとともにアラートと対応を自動化し、セキュリティ インシデント発生時、感染したエンドポイントの検疫や修復などといった対応の実施を支援します。
• 検知と対応のマネージド サービス(MDR)：一部のプロバイダーはEDRの利点とエキスパート チームによる常時対応を組み合わせ、EDRをマネージド サービスとして提供しています。社内に専門のSOCを置く人員や予算がない組織にとって、MDRは効果的な選択肢となります。

EDRが重要な理由

現在多くの組織では、攻撃対象領域が拡大し、攻撃者がネットワークに侵入する方法も非常に多くなっています。サイバーセキュリティ戦略を効果的なものにするには、すべての脅威ベクトルを考慮しなければなりません。エンドポイントは組織で最も脆弱な部分となる傾向があり、マルウェアのインストール、不正アクセス、データの窃取などを狙う脅威アクターに自然と狙われやすくなります。

そこで、エンドポイントでの検知と対応に特化したセキュリティ ソリューションが重要となります。簡単に言えば、EDRツールはサイバー攻撃からエンドポイント、ひいてはユーザーとデータを保護するための可視性、脅威インテリジェンス、インシデント対応の機能を提供するものです。具体的な機能やメリットは以下のとおりです。

• 基本的なセキュリティ ツール以上の可視性および修復インサイトの提供：ウイルス対策ソフトウェアやファイアウォールなどでは得られないような情報を提供し、インシデントの性質、根本原因、効果的な対処法をいっそう効果的に把握できるようになります。
• 行動分析を含むリアルタイムの監視と検知：検知を回避する攻撃者の排除やゼロ デイ脆弱性への対応を、深刻な被害が発生する前に行えるようになります。これにより、ダウンタイム、データ漏洩、後続の侵害リスクを軽減します。
• AIや機械学習による統合脅威インテリジェンス フィードの解析：攻撃者の最新の脅威、手法、行動に関するインサイトを生成し、常に先回りでデータ保護の対策を行えます。
• 時間とコストの節約とヒューマン エラーのリスク軽減：一元的な管理およびレポート作成機能、機械学習を活用した脅威インサイト、自動対応などを通じ、効率的かつ効果的なセキュリティ運用を実現します。

EDRソリューションに必要な要素

EDRを活用した効果的なセキュリティの本質は、エンドポイントの保護の強化と、運用上の負担の軽減にあります。この点を実現しながらコスト削減にもつながれば理想的です。そこで、以下のような機能や特長を備えたEDRを探すことが大切です。

• 行動分析を含むリアルタイムでの可視化：基本的なシグネチャーや侵害の痕跡(IoC)の監視では、新たな攻撃手法が見逃されてしまいます。より高度な監視によってエンドポイントでのアクティビティーや行動をリアルタイムで把握し、データ侵害が発生する前に脅威を阻止することが重要です。
• 豊富なエンドポイント テレメトリーと統合脅威インテリジェンス：継続的に保護を強化し、EDRツールおよびセキュリティ部門に対して、脅威への効果的な対応に必要となる貴重なインサイトやコンテキストを提供します。
• 迅速で正確な対応および修復：インテリジェントな自動化を活用してエンドポイントの脅威に対して明確かつ迅速な対応を行い、データ、エンド ユーザー、ビジネスの被害を防止します。
• クラウドの柔軟性、拡張性、スピード：ダウンタイムを発生させない自動更新、あらゆる場所のエンドポイントのセキュリティの維持、ハードウェアへの依存の低減、オンプレミス ソリューションに比べた総所有コストの削減を実現します。

EDRの限界

サイバー脅威の多くはエンドポイントが起点となるため、ワークロードやユーザー、ネットワークのその他の部分を保護するには、効果的なエンドポイントの保護が不可欠です。ただし、EDRにはいくつかの限界があることを理解しておくことが重要です。

• エンドポイントのみに特化していること。多くの攻撃は、エンド ユーザーが悪意のあるファイルをダウンロードすることをきっかけとして起こります。しかし、従来のEDRでは検知できないタイプの攻撃も数多く存在します。たとえば、管理対象外のエンドポイント(IoTやBYODなど)、クラウド アプリケーション、サーバー、サプライ チェーンに対する攻撃などです。
• 現在の攻撃に対してスピード面で不十分な場合があること。パススルー サンドボックスや検知ありきのアプローチでは、悪意のあるファイルや脅威アクターは、検知される前にリソースにアクセスできる可能性があります。そのため、6分足らずで100,000ファイルを暗号化できるLockBitランサムウェアなどの高度な脅威に対する効果は限定的なものとなります。
• ネットワークやアプリ内での攻撃の動きを可視化できないこと。EDRツールはエンドポイントのみからデータを収集するため、より広範なコンテキストを十分に得られないことがあり、これが誤検知の増加の原因となる場合があります。包括的な可視性を得るためには、広範な検知と対応(XDR)ソリューションが必要です。

エンドポイントでの脅威の検知と可視化は、ゼロトラスト アーキテクチャー、アイデンティティーベースのアクセス制御、ログの記録、分析などと並び、ゼロトラスト戦略の重要要素となります。

EDRとXDRの違い

XDRは、広範なデータ収集や脅威の検知と対応ソリューションをセキュリティ オーケストレーションと組み合わせたもので、EDRを進化させたものだと考えるとよいでしょう。エンドポイント、クラウド、ネットワーク、脅威インテリジェンス フィードなど、エコシステム全体からテレメトリーを収集することで、セキュリティ アナリストは、EDRだけの場合に比べいっそう迅速かつ正確な検知、関連付け、脅威ハンティング、インシデント対応を行えるようになります。

XDRについての詳細は「XDRとは」でご確認いただけます。

Zscalerのソリューション

Zscalerはエンドポイント セキュリティの分野でイノベーションを推進するリーディング カンパニーと提携し、エンドツーエンドの脅威検知、インテリジェンス共有、修復、デバイス ポスチャーに基づくすべてのオンプレミス アプリとクラウド アプリに対するアクセス制御を提供しています。Zscaler Zero Trust Exchange™プラットフォームとの緊密な統合を基盤として、Zscalerのパートナーは柔軟で信頼性の高いEDRおよびXDRソリューションを提供し、組織のデジタル トランスフォーメーションやその後を支援します。