第39回で解説した「ゼロトラスト」の原則の一つに「侵害を前提とする(Assume Breach)」という考え方があります。第43回で学んだ「TLS 1.3」などの技術でどれほど通信経路を固めても、攻撃者はフィッシングメールや未知の脆弱性を突き、必ずどこかのPC(エンドポイント)へ侵入してきます。
そこで、侵入された後の「不審な動き」をいち早く検知し、被害を最小限に抑える技術がEDR(Endpoint Detection and Response:イーディーアール)です。今回は、従来のウイルス対策ソフトとの違いや、その革新的な仕組みを解説します。
EDRと従来のアンチウイルス(EPP)の違い
多くの人がPCに導入している「ウイルス対策ソフト」は、正式にはEPP(Endpoint Protection Platform)と呼ばれます。EDRとEPPは、守る「タイミング」が根本的に異なります。
EPP(入口での防御・予防)
- 役割: ウイルスがPCに侵入し、実行されるのを「未然に防ぐ」ことが目的です。
- 仕組み: 既知のウイルスの特徴(シグネチャ)と照合してブロックします。
- 限界: 「未知のウイルス」や、OS標準のツールを悪用した「ファイルレス攻撃」などは、すり抜けてしまうリスクがあります。
EDR(侵入後の検知と対応)
- 役割: 「侵入されること」を前提とし、侵入後に発生する不審な動きを「見つけて対処する」ことが目的です。
- 仕組み: PC内の動作(ファイルの作成、外部への通信、レジストリの変更など)を常にログとして記録し、AIや専門家が「怪しい挙動」がないか監視します。
EDRが提供する4つのコア機能
EDRは単なる監視ツールではなく、有事の際の「初動対応」までを一貫してサポートします。
- リアルタイム監視(テレメトリ): 端末内で行われるあらゆる動作の記録(テレメトリ)を収集し、クラウドへ送信します。
- 高度な検知: 単発の動作ではなく、「このファイルを作った後に、外部の怪しいIPへ通信した」といった一連の流れ(ストーリー)から攻撃を判定します。
- 封じ込め(隔離): 感染の疑いがある端末をボタン一つでネットワークから物理的に切り離します。これにより、社内の他のPCへの感染拡大(ラテラルムーブメント)を即座に止められます。
- 原因調査(フォレンジック): 記録されたログを遡ることで、「いつ、どこから侵入され、何が盗まれたのか」という全容を解明できます。
なぜ今、EDRが必要なのか?
背景には、サイバー攻撃の高度化と、働き方の変化があります。
- 巧妙な「なりすまし」への対策: 第40回で解説した「最小権限の原則」を適用していても、正規の権限を持ったユーザーのアカウントが乗っ取られた場合、従来の防御では防げません。その後の「異常な振る舞い」を監視できるEDRが必要です。
- 境界の消滅: 第41回で紹介した「IDaaS」の普及により、社員はどこからでもクラウドへアクセスできるようになりました。社内ネットワークの外に出たPCを守るためには、端末自身に監視の目(EDR)を持たせることが不可欠です。
- インシデント対応の迅速化: 万が一感染した場合でも、EDRがあれば状況把握に数週間かける必要はありません。数分〜数時間での対応が可能になります。
運用を支える「MDR」という選択肢
EDRを導入すると、膨大な数の「怪しい挙動」のアラートが飛んできます。これらが本当に攻撃なのか、あるいは正規のソフトの誤検知(過検知)なのかを判断するには、高度な専門知識が必要です。
自社で24時間体制の監視が難しい企業のために、外部のセキュリティ専門家が代わりに監視・判断してくれるMDR(Managed Detection and Response)というサービスもセットで検討されるのが一般的です。
まとめ
EDRは、現代の「破られることを前提としたセキュリティ」において、最後の砦となる技術です。
- EPPで「予防」し、EDRで「検知・対応」する多層防御が鉄則。
- 侵入後の動きを可視化することで、被害の最小化と再発防止を実現。
- ゼロトラスト環境における、端末の信頼性を保証する中心人物。
次回の第45回では、EDRの考え方をさらに広げ、ネットワークやメール、クラウドのログまでを統合的に分析・防御する最新コンセプト「XDR(Extended Detection and Response)とは?」について詳しく解説します。
コメント