EDRとは?なぜ従来のアンチウイルスでは十分なセキュリティが確保できないのか

 2022.01.24  株式会社ネットワークバリューコンポネンツ

昨今では組織で対策が必要な必須セキュリティソリューションの一つに仲間入りをしている「EDR」。従来のエンドポイントセキュリティ対策製品ではカバーできなかった非マルウェア攻撃や未知のマルウェアへの対策として、注目を集めています。では、EDRと従来のエンドポイントセキュリティであるアンチウイルス製品には、いったいどのような違いがあるのでしょうか?

本記事では、EDRが持つ特徴を具体的に紹介していきます。

EDRとは?なぜ従来のアンチウイルスでは十分なセキュリティが確保できないのか

EDRの基本と仕組み

インターネットが普及した今日、さまざまな場面において利便性が増す一方で、コンピューターウイルス(マルウェア)やサイバー攻撃による乗っ取りやなりすましなど、インターネットならではのセキュリティリスクが顕在化しています。そこで欠かせないのが、セキュリティ対策です。

昨今のセキュリティ対策を考える上でEDRは、すでに組織にとって導入が必要不可欠なセキュリティ対策の一つとなっています。ここでは、EDRの基礎知識と仕組みをわかりやすく紹介します。

EDRとは

EDRとは、「Endpoint Detection and Response」(エンドポイントでの検出と対応)の略で、エンドポイント端末で脅威の検知と、発生しているインシデントへの対応を支援するためのセキュリティソリューションです。セキュリティ対策ソリューションとしては比較的新しく、シグネチャマッチによるマルウェア検出技術をベースとする従来のアンチウイルス製品ではカバーしきれなかった、未知のマルウェアや非マルウェア攻撃などの高度な脅威への対抗策として生まれました。

エンドポイントとは、ネットワークの末端に接続されているPCやサーバーなどを指します。EDRはこのエンドポイントの監視を強化して、サイバー攻撃を受けたこと検知、即座に復旧対応を行えるようにするソリューションです。EDRは、従来のアンチウイルス製品や境界防御を行うためのセキュリティソリューションと異なり、脅威の侵入を拒むことよりも、内部に入ってきた脅威を早期に検知対応することで被害を最小限に押さえることを目的としています。

EDRの仕組み

では、内部に脅威が侵入してしまったあとで、どうやって対策を行うのでしょうか? EDRの詳しい仕組みは以下の通りです。

  1. EDRが常時エンドポイントにおいて不審な動きがないかどうかをチェックする
    EDRは、エンドポイントをリアルタイムで監視します。あらゆるエンドポイント上のアクティビティをログとして記録、収集します。そして、それらのログを解析することで、エンドポイント上の不審な挙動や、マルウェアの活動、攻撃者の活動を迅速に検出します。エンドポイントに対する監視は常時行われていますが、EDRが導入されているPCやサーバへの負荷は最小限に抑えられています。

  2. 不審な動きが見られた際は、管理者に通知を行う
    万一、エンドポイント上でマルウェアや攻撃者による活動の疑いがある挙動が見られた場合には、管理者に対してセキュリティアラートが発砲されます。そして、EDRを活用することで、どのエンドポイントで不審な挙動を検出したのか、エンドポイント内で疑わしい挙動を行っている原因や影響のあるアプリケーションやファイルがなんであるか、また他にどのエンドポイントまで感染が広がっている疑いがあるかなどを特定するために活用することが可能であり、根本原因や影響範囲の特定を迅速に行うことを支援します。

  3. 被害が広がらないように対策を講じる
    EDRを活用して、マルウェアや攻撃者による不審な挙動が疑われるエンドポイントをネットワークから切り離し、被害が広がらないように処置することもできます。EDRの中には、さらにリモート操作機能を利用できるものもあり、稼働中のマルウェアや不審なプログラムの強制停止や、ファイルの強制削除などの措置を実行できる製品もあります。

このように、EDRはエンドポイントに侵入されることを前提として、侵入した脅威の検知や対策を行うために活用できるセキュリティ対策です。原因を追求することで、セキュリティ対策を改善することも可能です。

導入事例:セイコーエプソン株式会社
ランサムウェア エコノミ

EDR誕生の背景

従来の「脅威の侵入を防ぐ」という考えとは違う方法で、セキュリティ対策を行うのがEDRの大きな特徴です。EDRは、コンピューターウイルスやサイバー攻撃による被害の拡大とともに生まれました。

コンピューターウイルスが生まれたのは1990年代と言われています。元々は、そこまで悪意をもったものではなく、友人を驚かせることを目的とするようなプログラムが目立ちましたが、いつしか悪用され、ハードウェアに損害を与えたり、重要な情報を盗み出したりするといった害を及ぼすようになりました。

2000年代に入ると、企業の重要データや個人情報、クレジットカード情報などを狙ったサイバー攻撃が頻発するようになりました。

そこで生まれたのが、アンチウイルス製品です。アンチウイルス製品は、コンピューターウイルスを解析してその攻撃パターンを把握し、事前に発見して対処するというものです。そのため、ウイルス対策実施のためには、対象のウイルスについて詳細が明確になっている必要があります。つまり、未知のウイルスに対しては解析が完了するまでは対応ができない、ということです。アンチウイルス製品の提供企業は、常に解析を行い、アップデートを繰り返すことで、さまざまなコンピューターウイルスに対応してきました。その一方でサイバー犯罪者も次々と新しい種類の攻撃手法を生み出すため、両者の間でイタチごっこが続いていました。

そうした中で2013年、新しい考え方のセキュリティ対策ソリューションとして、EDRが生まれました。EDRを最初に提唱しEDR製品を世に送り出したのは、Carbon Black社です。(現在はVMware社によって買収。)。常にエンドポイントにおいて不審な動きがないかどうかチェックすることで、従来のセキュリティソフトでは対応できなかった未知のウイルスにも対応が可能となりました。攻撃者によって常に新たな攻撃手法が生み出されているために、すべてのサイバー攻撃は100%防ぎきることが難しいと想定し、内部に侵入した脅威をいち早く見つけ、対応することに重点を置いているのが特徴です。

従来のアンチウイルス製品では駄目なのか?

ここまで、EDRの仕組みについて詳しく説明してきました。しかし、すでに厳重なセキュリティ対策を施している企業関係者の方なら、「本当にEDRが必要なのか、これまで利用してきたセキュリティ対策製品であるアンチウイルス製品でも十分なのではないか」と疑問に思うこともあるでしょう。

ここからは、従来のアンチウイルス製品の問題点と、EDRがそれをどう解決するのかを説明します。

従来のアンチウイルス製品の特徴は、シグネチャマッチングをベースとしたマルウェア検知を行っていることです。そのため、既に特定され、情報が共有されているマルウェアに対しては、その侵入自体を拒めますが、情報が無い未知のマルウェアに対しては無力です。

さらに、未知のマルウェアに感染した場合を考えてみても、そのマルウェアを検知するためのシグネチャが更新されない限り検知することはできないままなので、被害がどんどん拡大してしまいます。放置しておくと、1つのエンドポイントで発生したマルウェア感染が、社内すべてのエンドポイントに広がってしまう恐れもあるのです。新しいマルウェアが次々と生まれている今、シグネチャ作成は追いついておらず、「サイバー攻撃を未然に防ぐ」という発想自体、限界が来ていると言えます。

そこで現在、主流になってきているのが前述したEDRです。EDRは侵入されることを前提とし、侵入して活動を行なっている脅威の迅速な検出とその後のインシデント対応を支援する様々な機能を提供します。これにより管理者は、EDRを活用した迅速な脅威検知と封じ込めを実現し、影響範囲や根本原因の特定を可能とします。。

ただし、注意すべき点としてEDRは侵入後の脅威検知と対応支援を行うツールであり、脅威の防御機能は持たないということです。EDRに加えてより強力な防御機能を持つエンドポイント対策と合わせて活用することで、対応が必要なインシデント数を減らすことができます。最近では次世代型アンチウイルス製品と呼ばれる従来までのアンチウイルス製品の機能+αの機能でより強力な防御を実現する製品もあり、それらと組み合わせて活用する、もしくは両方の機能を備える製品の導入が推奨されます。

また、近年では新型コロナウイルスの影響により、リモートワークも普及しています。リモートワークでは、社外で社員がネットワークを利用するため、オフィス勤務よりもさらにセキュリティ対策に注意しなければなりません。エンドポイントひとつひとつを守るためにも、EDRが重要だと言えるでしょう。

さらに、独立行政法人情報処理推進機構(IPA)が発表した「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」において、事後対応の準備の1つとして、EDRの導入が提案されています。この機会にぜひ、導入検討してみてはいかがでしょうか。

https://www.meti.go.jp/policy/netsecurity/mng_guide.html

https://www.ipa.go.jp/security/fy30/reports/ciso/index.html

従来のアンチウイルス製品も、既知の危険性、つまりシグネチャが作成されている既知のマルウェアへの対策としては今後も引き続き有効です。しかし、シグネチャの作成は追いついておらず、また非マルウェア攻撃などシグネチャマッチングベースの検知手法ではで検知出来ない攻撃が増えています。今後さらに発展する恐れのあるサイバー攻撃から会社の大切な資産を守るためにも、被害拡大防止に特化したEDRを導入することが重要です。

VMware Carbon Black Cloud Endpoint Standard (旧称:CB Defense)カタログ  

RECENT POST「Carbon Black」の最新記事


Carbon Black

VMware Carbon Blackとは?4つの事例から学ぶ導入理由と効果

EDRとは?なぜ従来のアンチウイルスでは十分なセキュリティが確保できないのか
New Call-to-action

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧