小学館IDをお持ちの方はこちらから
ログイン
初めてご利用の方
小学館IDにご登録いただくと限定イベントへの参加や読者プレゼントにお申し込み頂くことができます。また、定期にメールマガジンでお気に入りジャンルの最新情報をお届け致します。
新規登録
人気のタグ
おすすめのサイト
企業ニュース

企業のセキュリティ対策として不可欠なウィルス対策ソフト「EDR」の導入方法

2022.10.21

サイバー攻撃が横行している昨今、多くの企業でセキュリティ対策を実施しているでしょう。さまざまあるセキュリティ対策のなかでも、ウイルス対策ソフトのインストールは欠かせません。

ウイルス対策ソフトの導入により、不正なプログラムを検知して侵入を防げます。さらに、最近では侵入後の検知や対処を目的とした「EDR(Endpoint Detection and Response)」と呼ばれる製品が注目を集めており、多くの企業で導入が進んでいます。しかし、EDRがどのような機能をもっているのかわからない方もいるのではないでしょうか。

そこで今回は、EDRの機能や導入の進め方について解説します。

EDR(Endpoint Detection and Response)とは

EDRとは、エンドポイント(パソコン、スマートフォンなど)を監視し、悪意のあるファイルやプログラムの検知や対処ができる製品です。

EDRは侵入を防ぐことよりも、侵入後の検知や被害を最小限に抑えることを目的としています。近年は、全てのサイバー攻撃を防いで侵入させないことが難しいため、EDRのように侵入を前提としたセキュリティ対策が重要です。

EDRが必要な背景

EDRが必要な背景には、主に以下の2つがあります。

  1. サイバー攻撃の巧妙化
  2. 侵入を前提としたセキュリティ対策

①サイバー攻撃の巧妙化

サイバー攻撃は、日々新たな脅威が登場しており、さまざまな手法が確認されています。これらの攻撃は、すでに共有されている攻撃手法だけではなく、今までになかったような新たな攻撃手法も登場するでしょう。

例えば、最近では重要情報を暗号化し、復号化を条件に身代金を要求するランサムウェアが流行するなど、サイバー攻撃にもトレンドがあります。サイバー攻撃は日々進化を遂げているため、未知の攻撃から身を守るためにも、EDRが重要視されています。

②侵入を前提としたセキュリティ対策

前述したとおり、サイバー攻撃が巧妙化しているため、すべてのサイバー攻撃を防ぐことが非常に困難となっているのが現状です。そのため、これらのサイバー攻撃はすべて防ぐのではなく、攻撃を受ける前提としたセキュリティ対策が大切です。

EDRは、マルウェアの検知や対象端末の対処に特化しているため、サイバー攻撃を検知して適切な対処を実施できます。

従来のウイルス対策ソフトではダメなの?

従来のウイルス対策ソフトは、侵入を防ぐことに重点を置いていました。しかし、前述したとおり、サイバー攻撃の巧妙化によって侵入を前提とした考え方に変化してきたため、従来のウイルス対策ソフトよりもEDRのほうが優れています。

従来のウイルス対策ソフトは、既知のマルウェア情報を掲載したパターンファイルを基に、端末内に合致するファイルやプログラムがないかを検索していました。しかし、従来のウイルス対策ソフトでは、未知のマルウェアや不審な動きをするファイルやプログラムを検知できないため、侵入されても気付けないケースがあるでしょう。

EDRは、パターンファイルのスキャンに加えて、不審な動きをするものや疑いのあるものを検知してくれます。

EDRの機能

EDRには、主に以下の機能があります。

  • エンドポイントへのスキャン
  • 未知のマルウェア検出
  • エンドポイントへの対策
  • フォレンジック

①エンドポイントへのスキャン

エンドポイントとはパソコンやサーバーなどの端末を意味しており、スキャンはマルウェアの情報を記載したパターンファイルをベースに、端末内に不正なファイルやプログラムがないかを調べることです。

エンドポイントのスキャンは従来のウイルス対策でも実施していたものの、基本的には侵入を防ぐことが目的であるため、すでに端末内に侵入を許してしまった場合には検知できない恐れがあります。一方でEDRは、定期的にパターンファイルをアップデートし、スキャンも実施できるため、一度侵入を許したあとでも悪意のファイルやプログラムを検知できることがメリットです。

②未知のマルウェア検出

EDRは、ファイルやプログラムのふるまいから不正があるかを検出できるため、今後脅威になりうるものを見つけだせます。

従来のウイルス対策ソフトは既知のマルウェアのみを検知可能なため、新たなマルウェアを発見することが難しいとされていました。

EDRは、機械学習によって事前に不正なファイルやプログラムを検出できるため、今後発生しうる脅威を防げるでしょう。

③エンドポイントへの対策

EDRは、エンドポイントへの感染が確認されたら、対象ファイルの除去やネットワークからの遮断を実施できます。

特に、ネットワークからの遮断は欠かせません。もし、社内のネットワークに感染が及んでしまうと、重要なサーバーに感染してしまい、最終的には個人情報の流出につながるリスクがあります。ネットワークを遮断できれば、対象端末だけの感染に抑えられるでしょう。

④フォレンジック

フォレンジックとは、セキュリティインシデントが発生した際にログを基に調査や分析を実施することです。

EDRには調査機能が実装されており、エンドポイントから収集したログをベースに実施できます。

例えば、通信の経路を記録し、どの通信が不正なのかを見抜いたり、どのファイルへのアクセスによってマルウェアに感染したかなどを調査できます。

EDRを導入するときのポイント

EDRを導入するときには、以下のポイントを意識しましょう。

  1. 検知レベルがどの程度か
  2. 管理サーバーの形態
  3. 導入・運用コストがどの程度か

①検知レベルがどの程度か

既知のマルウェアだけではなく、未知のマルウェアにも対応しているのか確認する必要があるでしょう。EDRによっては、既知のマルウェアだけに対応しているケースがあるため、未知のマルウェアにも適応できる製品が効果的です。

②管理サーバーの形態

EDRの管理サーバーは、パターンファイルやスキャン状況を統合的に管理する役割があります。また、管理サーバーの形態にはオンプレミスかクラウドがあります。オンプレミスは自身でサーバーを構築しなければならないため、クラウドのほうが初期導入コストを抑えながら進められるでしょう。

③導入・運用コストがどの程度か

製品を導入するからには、どれくらいのコストがかかるかを把握しましょう。コストには、導入と運用にかかるコストがあります。

導入コストは、エンドポイント数に応じたライセンス料やオンプレミスの場合にサーバー代がかかるでしょう。一方で運用コストは、ライセンス料が継続的に発生するのに加えて、定期的なモニタリング作業が発生します。

製品ごとにコストが異なるため、適切な価格を見極めながら進めていきましょう。

まとめ

今回は、EDRの機能や導入の進め方を解説しました。

EDRは、昨今のサイバー攻撃からの脅威に対応するため、多くの企業で導入が進んでいます。今後は、侵入を防ぐよりも、侵入を前提としたセキュリティ対策が重要視されるでしょう。EDRは、侵入の検知や対処に優れているため、セキュリティ対策をする企業であれば積極的に導入すると効果的です。

EDRが未導入の企業は、今回の記事を参考に導入のポイントを意識しながら進めていきましょう。

文/長谷川貴之

編集/inox.


@DIME公式通販人気ランキング


@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2022年11月21日(月) 発売

DIME最新号の特別付録は「携帯型スティック加湿器」! 特集は「マネしたくなる!最強の仕事基地#デスクツアーNo.1決定戦」

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。