EDR・XDR いーでぃーあーる・えっくすでぃーあーる
エンドポイント検知脅威対応マルウェア検知サイバーセキュリティXDREDR
EDR・XDRについて教えて
EDR・XDRとは
EDR(Endpoint Detection and Response)とは、PCやサーバーといったエンドポイント上でのプロセス実行・ファイル操作・ネットワーク通信などを継続的に記録し、既知・未知の脅威をリアルタイムで検知して対応するセキュリティツールです。2013年にGartnerのアナリスト Anton Chuvakin が命名しました。
従来の**アンチウイルス(AV)はシグネチャ(既知のウイルスの特徴)との照合が中心でしたが、EDRは振る舞い分析(ビヘイビアアナリシス)**を用いるため、シグネチャに載っていない新しいマルウェアや「ファイルレス攻撃」も検出できます。侵害後のフォレンジック(証跡調査)機能も備えており、「いつ、何が起きたか」を追跡できます。
XDR(Extended Detection and Response)はEDRをさらに拡張し、エンドポイントだけでなくネットワーク・クラウド・メール・認証基盤など複数のセキュリティ製品からデータを統合して分析します。XDRは複数製品のデータを相関付けることで、より高精度な攻撃の全体像を把握できます。
EDR・XDR・AVの比較
| 項目 | アンチウイルス(AV) | EDR | XDR |
|---|---|---|---|
| 検知方式 | シグネチャベース | 振る舞い分析+AI | 複数ソース相関分析 |
| 監視対象 | エンドポイント | エンドポイント | エンドポイント+ネットワーク+クラウド等 |
| 対応機能 | ウイルス駆除 | プロセス停止・隔離・調査 | 統合的な脅威対応・自動化 |
| フォレンジック | ほぼなし | あり(詳細なタイムライン) | あり(クロスドメイン) |
| 未知の脅威対応 | 弱い | 強い | より強い |
| 導入コスト | 低い | 中〜高い | 高い |
EDRの主な機能
- テレメトリ収集:プロセス・ファイル・レジストリ・ネットワーク通信を常時記録
- リアルタイム検知:ルールベース+機械学習で異常を検出
- 自動対応(EDPR):感染端末の自動隔離・プロセス強制終了
- 脅威ハンティング:アナリストが能動的にログを探索
- インシデント調査:攻撃チェーン(Kill Chain)の可視化
歴史と背景
- 2013年:Gartner が「EDR」という用語を提唱。Carbon Black・CrowdStrike・Cylanceが草創期
- 2016年:ランサムウェアの爆発的増加を受けEDR需要が急拡大
- 2018年:MicrosoftがDefender ATPをリリース。OSベンダーがEDR市場に参入
- 2020年:PaloAlto・SentinelOne・CrowdStrikeが「XDR」を提唱。SIEM/SOARとの統合が加速
- 2022年〜:AIを活用した自律型SOC(Autonomous SOC)の概念が登場
主要製品比較
関連する規格・RFC
| 規格・基準 | 内容 |
|---|---|
| MITRE ATT&CK | 攻撃者の戦術・技術カタログ。EDR製品の検知ルール設計の基準 |
| NIST SP 800-83 | マルウェアインシデント予防・対応ガイド |