情報処理推進機構(IPA)が2025年に発表した「組織における情報セキュリティ10大脅威」によると、「ランサム攻撃による被害」が第1位になっています。
ランサムウェアは10年連続で1位に選ばれており、それだけ騙される人が多く、被害範囲も広いということです。
そこで、ランサムウェアへの対策として「EDR」が注目されています。
EDRとはどんなセキュリティシステムなのか、わかりやすく解説したいと思います。
EDRとは、「Endpoint Detection and Response」の略で、スマートフォンやパソコンなどのエンドポイント端末におけるサイバー攻撃を防ぐためのセキュリティソリューションです。
エンドポイント端末での不審な動きを監視・検知・通知・ログデータ収集・分析・復旧対応まで、侵入前だけでなく侵入後もウイルスが広がらないようにブロックしてくれます。
従来のセキュリティは、ウイルスを未然に防ぐことがメインでしたが、EDRは侵入されることを前提に考え、「侵入された後の被害を最小限に抑える」点を重要視しています。
EDRでは、エンドポイント端末の動作を監視し、常時ログに記録しています。
収集したそれらのデータを、セキュリティベンダーが持つ脅威情報と照らし合わせて、「不審な動き」や「攻撃の可能性」がないかを分析します。
不審な動きが検知されると、アラートによって管理者にすぐ通知される仕組みとなっています。
EDRとXDRは、対象範囲が異なります。
EDRは、エンドポイント端末が対象で、ログを収集して不審な動きを検知・ブロックします。
XDRは、エンドポイント端末に加えてメール・ネットワーク・クラウド・サーバーなど、対象範囲が幅広く、収集したデータを統合して全体の脅威を横断的に分析・対応します。
XDRはEDRよりも対応範囲が広いのが特徴です。
EDRとアンチウイルスは、どちらも脅威から守るためのセキュリティですが、守るタイミングが異なります。
アンチウイルスは脅威が内側に入り込む前に守るためのセキュリティであり、一度侵入されてしまうとほぼ無力です。
EDRは、侵入されることを前提にしているセキュリティなので、侵入前はもちろん侵入後も迅速に対応し、ウイルスの排除を行います。
近年は、ウイルスの脅威も高まっており、絶対に侵入されないとは言い切れません。
それを考えると、これから導入するならEDRの方がおすすめです。
UTMは、ネットワークの出入り口でまとめてセキュリティ対策をするシステムです。
脅威が入らないようにする仕組みなので、入ってからの対処をするEDRとは役割が異なります。
内部に入り込んだ脅威を検知・排除するEDRですが、具体的にどのようなことができるのでしょうか。
EDRができることを見ていきましょう。
EDRでは、対象端末にエージェントと呼ばれるシステムを導入し、端末上で行われる動作をリアルタイム監視します。
ファイル操作やネットワーク通信、プログラムの実行など、行った操作全てを常に監視し、ログを収集します。
そうすることで、不審な動きがあった時にすぐ検知できます。
既知の攻撃パターンと収集したログ内の動きを比較し、怪しい動きがあれば検知します。
未知のウイルスも、不審な動きと判断すれば検知し、すぐに管理者に通知します。
脅威を検知した場合、他の端末への感染を防ぐため、感染端末をネットワークや外部通信から遮断します。
リモートで隔離ができるので、現場に行く必要がなく迅速な対応ができます。
なお、隔離中も管理サーバーとは通信できるため、その状態で調査ができます。
感染した端末に対して、復旧作業を行います。
脅威となるウイルスを排除し、システム設定の修復、ネットワークへの再接続を行います。
端末から収集したログデータを、解析サーバーで分析して調査します。
各端末での動きだけでなく、エンドポイント間の関連性を見て攻撃の全体像を把握できます。
侵入経路や攻撃手法、被害範囲も確認できます。
日々行っている操作情報から、自社が狙われやすい攻撃手法を把握できるため、社内で共有して同じ失敗を防ぐことができます。
EDR導入前に確認しておくべきことがいくつかあります。
ぜひ、ここで事前に確認していってください。
EDRの導入に向いている企業のメインは中規模以上の企業です。
中堅・大企業は、従業員が多いため利用している端末の数も多く、サイバー攻撃を受けるリスクが高いです。
加えて、1台に感染すると被害が広範囲に広がる恐れがあります。
入り口で攻撃を防ぐのはもちろん、万が一侵入されても対処できるよう、EDRの導入がおすすめです。
また、近年は中小企業でもEDRの需要が高まっています。
特に医療や金融など、機密情報を取り扱う企業は狙われやすくなっているため、セキュリティが薄いと簡単に情報を抜かれてしまいます。
しかし、中小企業では情報システム専門の人材が不足しているため、自動で監視・検知・排除してくれるEDRが役立つのです。
外部対策のセキュリティソフトと合わせて、EDRの導入がおすすめです。
EDRのコストは、製品の種類(オンプレ型かクラウド型か)、端末数、運用体制などによって変化します。
参考として、EDRの一般的なライセンス費用は、検知・分析の機能もついて年間6000円ほどと言われています。
企業規模や欲しい機能によっても金額が変わってくるので、ある程度予算を考えてからベンダーに相談しましょう。
また、導入期間としては、一般的に2カ月ほどかかるそうです。
EDRは、常時ログ情報を監視するため、導入することで通信や端末に負荷がかかる可能性があります。
業務に支障が出るほどの負荷はかからないと思いますが、導入前に負荷検証を行いましょう。
実際の業務との併用が可能かも検証しておくと間違いがありません。
EDRは、自動で情報収集や検知を行ってくれますが、ウイルスの除去や分析を行うのに運用が必要不可欠です。
検知アラートを確認してウイルスの動きを確認するため、24時間体制での監視が必要です。
また、EDRが生成するログ情報を分析・調査するには、サイバー攻撃やセキュリティの知識を豊富に持っている人材が必要です。
このように、EDRを運用できる人材が社内にいないと、導入しても100%の力を発揮できない可能性があります。
EDRを導入しようとしている企業さん必見!
EDRの選び方を紹介するので、「どれにすればいいか分からない」悩んでいる場合は、ぜひ参考にしてください。
製品によって、セキュリティ範囲が異なります。
全てを防ぎたい場合は内部対策と外部対策両方できるものを、外部対策は別ソフトでやりたいという場合は、EDRに特化したものを選ぶといいでしょう。
EDRを利用するためには、ログを監視する管理サーバーが必要です。
管理サーバーは、自社で構築する場合とクラウドサーバーを使う場合があります。
クラウドサーバーは運用負担が少ないですが、自社でログを管理できません。
自社サーバーは導入や構築、運用にコストがかかるため、社内に技術者がいないと構築できませんが、自社でログを管理できて、カスタマイズ性も高いです。
どちらにするかは、社内の環境で決めてください。
万が一ウイルスが侵入した際に、どの程度まで自動で修復できるかも重要です。
端末の隔離やウイルスの除去だけでなく、端末を自動で復旧してくれる機能があれば、万が一の感染を迅速に解決できます。
導入前に、復旧機能の充実度を確認してください。
ほとんどのサービスで、Windows、Mac、LinuxなどのメインOSに対応しています。
スマートフォンも管理したい場合は、iOSとAndroidにも対応しているものを選びましょう。]
製品やベンダーによって異なりますが、運用支援があるところもあります。
初期設定サポート、マニュアル提供、トラブル時対応、アップデートの自動提供、レポート作成やセキュリティ診断など、EDRを導入・運用する上で役立つサポートをしてくれます。
サポートがあることで、何かあった時に相談できるため、安心して利用できます。
セキュリティソフトの導入が初めての場合や、社内に専門知識のある人材がいない場合は、サポート体制がしっかりしているベンダーを選びましょう。
「Eye“247” Safety Zone」は、ウイルスなどの脅威を侵入前に防ぐ「EPP」と、侵入後に検知・駆除する「EDR」を組み合わせた、次世代型のエンドポイントセキュリティソフトです。
パソコンやサーバー内のアプリケーションの動きを常時監視し、不審な動きを検知して情報を守ります。
マルウェアの動作にスコアを与え、総スコアが一定値を超えた際に、その動作を中断・終了させ、安全な領域に隔離します。
ランサムウェアの動きを監視し、自動でファイルをバックアップします。
万が一ウイルスに感染した場合も、間近のバックアップデータから復旧できます。
時間帯を指定して、webアクセスに対して許可やブロックなどの動きを制限できる「webアクセスコントロール」。
フィッシングサイトや悪意あるサイトを自動的にブロックし、情報漏洩やウイルス感染のリスクを下げる「webプロテクション」。
HTTPアプリケーションなど、webブラウザを介さないネットワークアクセスに対して攻撃を検出しブロックする「ネットワーク攻撃検出」。
これらの機能で、不用意なウイルス感染のリスクを低減します。
「Eye“247” Safety Zone」は、オフィ助でも取り扱っています!
少しでも気になれば、ぜひお気軽にお問い合わせください。