EDR

掲載:2022年11月17日

用語集

「EDR (Endpoint Detection and Response)」とは、PCやサーバー、スマートフォンといったエンドポイントの状況を監視して脅威の侵入を検知し、管理者に通知して迅速な対応を可能にするソリューションです。
EDRは脅威の侵入を防ぐ従来型のアンチウイルス製品やファイアウォール等によるゲートウェイセキュリティと異なり、侵入した脅威に対して迅速な対応を行うことで被害を最小限に抑えることを目的としています。

エンドポイントを守るためのソリューションとしては、アンチウイルス(AV)ソフトと呼ばれる「EPP(Endpoint Protection Platform)」や、その中でも機械学習などの先進的な機能を持つ「NGAV(Next Generation Anti-Virus)」などがありますが、これらはいずれもマルウェアの侵入を水際で防ぐことが目的であり、その点でEDRと異なります。

EDRが注目されている背景として、サイバー攻撃がますます高度化しており、マルウェアによる攻撃を完全に防ぐことが困難になっているという状況があります。また、クラウドサービスの利用やリモートワークが増加したことで、社内・社外の境界で攻撃を防ぐ境界型防御ではなく、ゼロトラストの概念にもとづくセキュリティ対策が求められるようになりました。

EDRは、PCやサーバーなどの端末にソフトウェアやセンサーを導入し、ログを取得して常時監視します。マルウェアの脅威が検出された場合、脅威について解析を行い、侵入経路や被害状況などを分析のうえ管理者に通知します。また、自動でネットワーク切断やプロセス停止といった対応も可能です。

近年では、常時ネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスなどを行う専門組織である「SOC(Security Operation Center)」も注目されています。
SOCは自社内に設置することもありますが、EDRとSOCサービスを組み合わせたソリューションを提供する企業も登場しています。