EDRとは何か?
近年のサイバー攻撃は非常に巧妙化しており、従来のウイルス対策ソフトだけでは防ぎきれないケースが増えています。そこで登場したのがEDRです。
- Endpoint(エンドポイント): ネットワークの末端にある端末(PC、スマホ、サーバーなど)。
- Detection(検出): 脅威を見つけること。
- Response(対応): 脅威に対処すること。
簡単に言うと、「PCの中に設置する高性能な監視カメラと警備員」のような役割を果たします。
これまでの「ウイルス対策ソフト(EPP)」との違い
多くの人が「ウイルス対策ソフトを入れているから大丈夫」と考えがちですが、それはEPP(Endpoint Protection Platform)と呼ばれるものです。EDRとEPPは役割が全く異なります。
| 特徴 | EPP(従来のウイルス対策) | EDR(新しい監視システム) |
| 主な役割 | 予防(Prevention) | 事後対処(Response) |
| 目的 | ウイルスの侵入を防ぐ | 侵入後の被害拡大を防ぐ |
| 例え | 「門番」 怪しい人が建物に入らないようにブロックする。 | 「館内巡回警備員」 すり抜けて侵入した犯人が、悪さをしないか監視・捕獲する。 |
| 得意なこと | 既知のウイルス(ブラックリスト)の駆除 | 未知のウイルスや、怪しい挙動(振る舞い)の検知 |
なぜ両方必要なのか?
完璧な門番(EPP)はいません。どんなに厳しいチェックでも、変装した泥棒(新種のウイルス)にすり抜けられることがあります。そのため、すり抜けられた後に対処する警備員(EDR)が必要になるのです。
EDRの具体的な仕組みと流れ
EDRを導入すると、万が一マルウェアに感染した場合でも、以下のような流れで被害を食い止めます。
- ログの収集・監視
- PC内でのファイルの操作、通信、プロセスの動きなどを常に記録し続けます。
- 検知(振る舞い検知)
- 「普段使わない遠隔操作ツールが動いている」「大量のファイルを一度に書き換えている(ランサムウェアの疑い)」といった不審な挙動を見つけ出します。
- 通知・可視化
- 管理者に「どのPCが、いつ、どこから攻撃を受けているか」を即座に通知します。侵入経路を特定するのに役立ちます。
- 対応(隔離・修復)
- 管理者は遠隔操作で、そのPCをネットワークから切り離し(隔離)、他のPCへの感染拡大を防ぎます。
なぜ今、EDRが必須と言われるのか?
かつては、社内ネットワークとインターネットの境界線に壁を作る「境界型防御(ファイアウォールなど)」が主流でした。しかし、現在は以下の理由から限界が来ています。
- テレワークの普及: 社外(自宅やカフェ)でPCを使うため、会社のファイアウォールで守れない。
- 攻撃の高度化: ファイルを使わない攻撃(ファイルレス攻撃)など、従来のソフトでは検知できない手口が増えた。
「侵入されることを前提(Assume Breach)」として対策を組む必要があり、その中心にEDRがあります。
