新たなセキュリティ対策として、注目を集めるEDR製品。
しかし、製品も数多く展開され、「どのEDRをどうやって選べばいいんだろう…」と悩む人も多いのではないでしょうか。
 
EDRには、製品によってそれぞれ特長があり、基本的なEDRとしての性能はもちろん、EPPやNGAVなどとの機能をあわせ持っていたり、独自のこまかな検知ルールや実績があったりします。
 
本記事では、「どれが自社に見合ったEDRかわからない」という方が、これだ！と思える製品を見つけ出せるようになるために、主要なEDR製品の比較や選定ポイントを紹介していきます。

EDRとは？

EDR（Endpoint Detection and Response）とは、エンドポイントと呼ばれる端末（サーバやPC、スマートフォンなど、末端で利用される機器）を、サイバーアタックの脅威から守るためのセキュリティ製品です。
 
近年では、あらゆる企業・部署でIT化が進み、クラウドの利用やDXが推進されています。
それにともなって働き方も変わり、業務に利用される端末も多様化しています。
人々は社内に留まる必要はなくなり、社外で好きなとき・好きな場所から、ノートPCやスマートフォンを使って業務に取り組めるようになりました。
 
一方で、今までは社内の安全なネットワークで守られていた端末が、外の危険にさらされるようになり、脅威の侵入を完全に防ぐことが難しくなったのも事実です。
そのため、「すでに脅威が入り込んでしまっている」として、被害を未然に防ぐのではなく最小限に抑えるという、新しいセキュリティの形が誕生しました。

このセキュリティの考え方をゼロトラストセキュリティと呼びますが、EDRはゼロトラストセキュリティの考え方のもと、エンドポイントから情報を収集・監視することで、脅威をできるだけ最小限に抑えることに特化したセキュリティ製品です。

ゼロトラストセキュリティについて詳しくはこちら

EDRはなぜ必要か？

EDR製品が必要な理由として、以下の2点があげられます。
＊迅速な対応を実現
＊状況の全体像を把握できる

＊迅速な対応を実現
EDRはエンドポイントをリアルタイムで監視し、脅威を検知すれば、即座に管理者に通知します。
そのため、今流行しているEmotetなどの脅威にさらされたとき、管理者は迅速な対応を起こせるようになります。
 
ここでポイントとなるのが「検知」です。
すばやく対応し、被害を最小限に抑えるためには、まだ世に知られていない未知の攻撃も検知しなければなりません。
その点、最近のEDRでは、AIやコミュニティで共有される情報を活用し、エンドポイントのふるまいと照らし合わせながら、脅威となりうるものも検知できる製品が増えています。
 
もちろん、管理者への通知だけでなく、ほかの端末への感染状況の特定やネットワークからの切断、脅威が実行するプロセスの停止などを実行するものもあります。
このあたりは、ベンダーによって性能に差が生じるのがポイントです。
 
＊状況の全体像を把握できる
サービスを展開している場合など、状況次第ではサービスの利用ユーザやクライアント顧客にも説明責任を果たさなければなりません。
最悪のケースではサービス利用ユーザにまで被害が及び、企業運営自体が危ぶまれることも考えられるでしょう。
 
その場合に必須となるのが、状況の全体像を把握することです。
いつ、どこで、だれが、どのように、そしてなぜ侵入し、影響範囲はどこまで及ぶのかを正確に把握しておかなければなりません。
 
EDR製品の多くは、監視のログを残したうえで上記のような状況調査・解析を自動で行い、わかりやすいグラフやレポートなどで表示された結果を、単一コンソール（管理者画面）からかんたんに把握できます。
 
Emotetとは？詳しくはこちら

EDRはどうやって選ぶ？

では、数多くあるEDR製品はどうやって選べばよいのでしょうか？

EDR製品の選び方として、以下の3点を押さえておくことが重要です。
＊利用目的（なにがしたいのか？）
＊検知方法や検知精度（どのレベルでの対策が必要なのか？）
＊コスト（金銭的コストと人的コストの許容範囲）

＊利用目的（なにがしたいのか？）
EDR製品の中には、EPP（アンチウイルス）やNGAV（次世代型アンチウイルス）を兼ねたものもあります。
EDR+EPP・NGAVのタイプであれば、入口対策としてのEPP・NGAVと、感染後の被害を最小限に抑えるEDRの両メリットを享受できます。
 
あるいは、EDRに特化したタイプもあります。
EPPやNGAV製品をすでに導入しているなどの場合には、コストの面から考えても、EDR特化のものを選ぶとよいでしょう。
 
＊検知方法や検知精度（どのレベルでの対策が必要なのか？）
未知の攻撃に対抗するには、十分に蓄積された知識や検知ルールが必要不可欠です。
実績はもちろん、世界的にサービスを展開しているベンダーなら、より豊富で多様な情報から収集された、詳細なデータを検知に活用できます。
 
残念ながら、ランサムウェアなどの脅威は日々すさまじいスピードで進化しており、企業は常に新たなサイバー攻撃への対抗策を練らなければなりません。
まだ知られていない未調査の攻撃でも、いかに被害を最小限に抑えられるか、検知のレベルも製品選定のポイントとなります。

ランサムウェアについて詳しくはこちら

＊コスト（金銭的コストと人的コストの許容範囲）
EDRは、あくまで脅威の侵入後に対策するためのツールであり、未然に防ぐものではありません。
そのため、管理・運用は必須です。
 
性能差による料金コストの違いはもちろんですが、管理コストの差も把握しておくべきでしょう。
たとえば、検知ルールや監視結果解析などをチューニング、あるいは自動化・簡素化できるかは、コストを知るうえで確認しておくべきでしょう。

2022年最新版 EDR主要3製品

ここで、2022年最新版のEDR主要3製品をご紹介します。
＊CrowdStrike
＊Cyberreason
＊VMware Carbon Black

＊CrowdStrike
セキュリティアップデートから担保までを、すべてクラウド上で行うというクラウドネイティブなEDR製品として誕生したのが、CrowdStrikeです。
クラウドからのEDRを実現するには高い技術を要し、当時は提供にまで至らない企業がほとんどだった中で、CrowdStrike社は圧倒的な技術力をもってそれを成し遂げました。
 
クラウドサービスのため、導入が非常に簡単なため世界的に高い人気を誇っている同社のクラウドには、全世界から膨大な端末ログが収集されます。
EDRがそれをリアルタイムに監視・活用するだけでなく、「Overwatch」と呼ばれる専門家チームによって、24時間365日体制で新たな脅威をハンティングしているのが特長です。
Overwatchの仕組みによって、EDRだけでは自動で検知できないような、ファイルレス攻撃などのまったく新たな脅威も検知可能にしています。
 
また、CrowdStrikeはブレイクアウトタイム（サイバー攻撃者が最初に侵入したエンドポイントから、ほかのシステムに侵入するまでの時間）内での攻撃対処を実現するために、「1分でウイルスを検知し、10分で調査を終え、60分で完全なる脅威の排除を成し遂げる」という、1-10-60ルールを掲げています。
 
ベンダー側の厳しいルールに反して、ユーザ側には非常に使いやすい優れた単一プラットフォームも用意されています。
ユーザは1つのコンソールから、あらゆるエンドポイントをかんたんにカバーできます。
 
＊Cyberreason
国内市場でNo.1シェア率を誇るのが、Cyberreasonです。
イスラエル軍のサイバーセキュリティにも携わったことのあるメンバーが主導となり開発され、世界中で10万件以上もの脅威を検知した実績があります。
 
特長としては、AIを活用したリアルタイム監視と秒間およそ800万回のビッグデータ解析で、未知の攻撃も即座に特定・検知可能です。
また、数万台のエンドポイント環境にも対応でき、複数の端末をワンクリックで隔離できるので、リモートワーク環境にも向いています。
 
もちろん管理画面は日本語に対応しており、グラフィカルで時系列にわかりやすく表示してくれるため、まさに状況の全体像把握にもうってつけです。
 
＊VMware Carbon Black
2019年、VMwareがセキュリティ企業のCarbon Blackを買収したことにより誕生したEDR製品が、VMware Carbon Blackです。
Carbon Black社は、はじめてEDR製品を市場に投入したベンダーであり、「EDRの生みの親」とされています。
 
従来型アンチウイルスソフトと変わらない価格帯で、未知の脅威にも対応する業界最高クラスの包括的なNGAV+EDRを提供します。
 
Carbon Blackはいくつかのシリーズにわかれており、VMware Carbon Black Cloud Endpoint Standardが基本的なNGAV+EDRを提供する製品です。
また、SOC（Security Operation Center）チームが、必要に応じてアラート解析支援などを行うサービスなども展開されています。

まとめ

働き方が多様化し、利用する端末も変わっていく昨今では、セキュリティのあり方も変わらなければなりません。
 
EDRは、日々進化する脅威にも迅速に対応し、エンドポイントの全体像を可視化できるセキュリティ製品であり、まさに新しいセキュリティを支える根幹のひとつとなっています。
 
3章でも紹介したとおり、基本的なEDR製品の選び方は以下の3点です。
＊利用目的（どこからどこまでをカバーできればよいのか）
＊製品の検知レベル（どのレベルの検知が必要なのか）
＊コスト（製品自体のコストと運用にかかる人的コストの組み合わせ）

上記の基本的な選定方法はもちろん押さえておいた方がよいですが、EDR製品も日々進化を続け、EPPやNGAV機能を併せ持っていたり、CrowdStrikeのように24時間365日体制で脅威ハンティングしてくれたりするものもあります。
脅威が進化する裏では、EDR製品も進化を止めることはないでしょう。

今後どのような機能が追加される予定か、ベンダーの動向や展望をチェックするのも、選定の判断材料になります。
 
ぜひ比較検討したうえで、自社に合うEDR製品を新たなセキュリティ基盤に活用していきましょう。

​​​​​​​

■関連記事

・標的型攻撃メール訓練サービスとは？ 自社で利用してみたら、3つの大きな効果があった話

・OSINT（オシント）とは!?!? メールアドレスだけで個人情報流出を確認できる優れモノ!!

・情報漏洩どう防ぐ？テレワークにおける企業データの守り方！｜認証・認可

※この記事は、公開時点の情報をもとに作成しています。