// シス担のミカタ
セキュリティ製品 - エンドポイント

EDR(Endpoint Detection and Response) いーでぃーあーる

エンドポイントセキュリティマルウェア検知インシデントレスポンスアンチウイルスXDRサイバー攻撃対策
EDRについて教えて

簡単に言うとこんな感じ!

EDRは「パソコンやサーバーに張り付いた監視カメラ&警備員」みたいなもの!ウイルス対策ソフトが「怪しい人を入口で止める門番」だとすると、EDRは「中に入られた後も動きをずっと記録して、やばいことが起きたらすぐ動く」役割を担ってるんだ!

EDRとは

EDR(Endpoint Detection and Response) とは、PC・サーバー・スマートフォンなどのエンドポイント(ネットワークの末端に位置する機器)上での不審な動きをリアルタイムで監視・記録し、脅威を検知した際に迅速な対応を支援するセキュリティソリューションのことです。

従来のアンチウイルス(AV)ソフトは、既知のウイルスの「パターン(シグネチャ)」と照合して検知する仕組みでした。しかし近年のサイバー攻撃は、正規のソフトウェアを悪用したり、ファイルを使わない「ファイルレス攻撃」を行ったりと、パターン検知をすり抜ける手口が増えています。EDRはこうした未知・高度な脅威にも対応するため、ふるまい監視やAIを活用した異常検知を行います。

EDRを導入すると、万が一攻撃者がエンドポイントに侵入した場合でも、いつ・どこで・何が起きたかの証跡(ログ)を保持しており、被害範囲の特定や原因究明(フォレンジック)に役立てることができます。経営的には「侵入を100%防ぐのは不可能」という前提に立ち、いかに早く気づき、被害を最小化するかを支援する道具です。

EDRの主な機能と仕組み

機能カテゴリ具体的な内容
監視・収集プロセス起動、ファイル操作、レジストリ変更、ネットワーク通信などを継続記録
検知AIや行動分析で不審なパターンを自動検出。シグネチャに頼らない検知も可能
アラート脅威を検知すると管理者にリアルタイム通知。深刻度でトリアージ
調査(Detection)攻撃の起点・経路・影響範囲をタイムライン形式で可視化
対応(Response)感染端末の隔離、不審プロセスの強制終了、ファイル削除などを遠隔実行
フォレンジックインシデント後の証跡保全・原因分析に必要なログを長期保持

「Detection(検知)」と「Response(対応)」の両輪

EDRという名前には2つの役割が込められています。

  • Detection(検知):怪しいことが起きていないかを常にウォッチし、見つけたらアラートを上げる
  • Response(対応):検知した脅威に対して、隔離・封じ込め・修復などのアクションを素早く実行する

この「見る」と「動く」の両方を一体で担うところが、単なる監視ツールとの大きな違いです。

アンチウイルス(AV)との違い

比較項目アンチウイルス(AV)EDR
検知手法シグネチャ照合が中心行動分析・AIも活用
対応範囲既知マルウェアの検知・削除未知の脅威・高度な攻撃にも対応
ログ保持基本なし〜最小限詳細な行動ログを長期保持
事後調査困難攻撃の全経路を追跡可能
遠隔対応限定的端末隔離・プロセス停止など豊富
導入コスト比較的安価高め(運用負荷もあり)

歴史と背景

  • 2000年代前半:アンチウイルスが主流。シグネチャベースの防御が一般的だった
  • 2010年代初頭:APT(高度持続的脅威)攻撃が増加。標的型攻撃はAVをすり抜けるケースが多発
  • 2013年:調査会社Gartnerのアナリスト Anton Chuvakin が「EDR」という概念・名称を初めて定義・提唱
  • 2015年前後:CrowdStrike・Carbon Black・Cylanceなどの専業ベンダーが急成長し、市場が形成される
  • 2017〜2018年ランサムウェア「WannaCry」「NotPetya」など大規模攻撃が相次ぎ、EDR導入が加速
  • 2020年代:クラウド型EDRが主流に。XDR(Extended Detection and Response)へと進化が進む
  • 2022年以降:日本でも政府機関・重要インフラへのEDR導入が政策的に推進される

EDR・EPP・XDRの関係と位置づけ

エンドポイントセキュリティには似た略語が多く、混乱しがちです。以下で整理します。

用語正式名称役割の概要
EPPEndpoint Protection Platform従来型AV+次世代AV。脅威の「侵入を防ぐ」予防主体
EDREndpoint Detection and Response侵入後の「検知と対応」が主体
XDRExtended Detection and ResponseEDRをネットワーク・メール・クラウドにまで拡張した統合型
MDRManaged Detection and ResponseEDR/XDRをベンダーが代わりに運用・監視するサービス
エンドポイントセキュリティの層構造 XDR(Extended Detection and Response) エンドポイント+ネットワーク+クラウド+メールを横断した統合検知・対応 EDR(Endpoint Detection and Response) 端末上の行動監視・脅威検知・封じ込め・フォレンジック EPP(Endpoint Protection Platform) アンチウイルス・次世代AV。既知・未知マルウェアの侵入防止 エンドポイント(PC / サーバー / スマートフォン)

MDR(Managed Detection and Response)という選択肢

EDRは強力なツールですが、アラートへの対応には専門知識を持つセキュリティ担当者が必要です。社内にその人材がいない場合は、EDRの監視・運用をまるごとベンダーに委託する「MDR」サービスが現実的な選択肢となります。

関連する用語

  • アンチウイルス(AV) — 既知マルウェアのシグネチャ照合で侵入を防ぐ従来型エンドポイント保護
  • XDR — EDRをネットワーク・クラウド等に拡張した次世代統合型検知・対応
  • MDR — EDR/XDRの監視・運用をベンダーが代行するマネージドサービス
  • EPP — エンドポイントへの脅威侵入を防ぐ予防主体のプラットフォーム
  • SIEM — 各種ログを一元収集・相関分析するセキュリティ情報イベント管理システム
  • SOC — セキュリティ監視・インシデント対応を専門に行う組織またはサービス
  • ランサムウェア — ファイルを暗号化して身代金を要求する悪意あるソフトウェア
  • フォレンジック — サイバーインシデントの原因・証跡を調査・解析する技術・手法