「EDR」とは何か？　比較される「EPP」と何が違うか

　2019年、最も脚光を浴びたITセキュリティキーワードの一つに「EDR（Endpoint Detection and Response）」がある。エンドポイントで検知（Detection）し、対応（Response）する機能を持った製品を指すが、近年はEDRという言葉がバズワード化し、「高度化する攻撃に対処できる、次世代の防御手法」という曖昧な認識しか持ち合わせていない企業も珍しくない。

　曖昧な認識のままEDRを導入した企業は、思わぬ運用の難しさや過検知の対応に追われて疲弊し、その事例を聞いたEDR未導入の組織は「結局、EDRは使えないものだったのでは」という認識に落ち着く――。おそらく、それこそがEDRを取り巻く現状だ。

　しかし、EDRが持つ本来の威力はこのバズワードが持つ印象とは別のところにある。今回は年間300件以上のサイバー事故の対応で企業を支援し続けてきた、ラックのサイバー救急センターのフォレンジックサービスを担当する佐藤 敦氏、そしてサイバー救急センター長の鷲尾浩之氏に本来あるべきEDRの認識、製品選定のポイント、企業ごとの適切な運用方法を聞いた。

一人歩きするEDRの機能認識

　近年、シグネチャベースのアンチウイルス製品では猛威を振るうランサムウェアや、2019年10月後半より被害報告が増えているマルウェア「Emotet」に対応できなくなっていることなどを背景に、EDRへの注目が過熱している。NIST（アメリカ国立標準技術研究所）のサイバーセキュリティフレームワークや経済産業省のサイバーセキュリティ経営ガイドラインが、防御（Protect）だけでなく、侵入を検知（Detect）し、対応（Respond）し、速やかに復旧（Recover）させることの重要性を指摘していることも相まって、キーワードを耳にした経営層が「ウチもEDRで守るぞ！」とトップダウンで導入を決めることも珍しくない。

図1　内閣サイバーセキュリティセンター（NISC）の「政府機関等の情報セキュリティ対策のための統一基準群の見直し（案）」でも端末の挙動検知による未知の不正プログラムを検知できる体制＝EDRの活用を示している（https://www.nisc.go.jp/active/general/pdf/gaiyo2018.pdf）

　結果としてEDRの導入自体が目的となり、何ができるかをよく理解しないまま「次世代アンチウイルスのように、有事の際に隔離できればよい」という感覚で活用をはじめてしまうケースが後を絶たない。「世の中でEDRの認知率や導入率が向上していたとしても、実際にその強みを発揮できているかというと判断が難しい」と佐藤氏（ラック　サイバー救急センター　フォレンジックサービスグループ　グループマネージャー）は述べる。

Copyright © ITmedia, Inc. All Rights Reserved.