EDR（Endpoint Detection and Response）とは何か？

こんにちは。MaromaroのSasakiです。

サーバセキュリティ関連のお話で、「EDR（Endpoint Detection and Response）」というワードが出てきまして、簡単にまとめてみました。

EDRとは

EDRとは以下の略です。
Endpoint　=>　終端・末端＝サーバとかパソコンなど通信の終端
Detection and Response　=>　 検出と応答
の意味になります。

パソコンやサーバなどにインストールして利用します。
アンチウイルスソフトなどでは防げなかった攻撃（その後）をふるまい検知・対処してくれる製品です。

で、今までのセキュリティ製品と何が違うの？

EDR製品の特徴

比較として、EPP（Endpoint Protection Platform）というものから説明します。
なにやら似ている言葉なの止めて欲しいですね・・・。

EPPは平たくいうと、パソコンやサーバなどにいれていたアンチウイルスソフトというものに該当します。
役目としては、攻撃前に防ぐのがEPPの役割です。（おそらく、みなさんのパソコンなどにも入っていると思います）

前述の見出しでも書きましたが、EDR（書いていてややこしい・・・）は感染後のふるまいを監視し、分析対応する製品になります。
ですので、感染後に働く製品という位置付けです。

昨今EPP（アンチウイルスソフト）では防げない場合も多々あり、感染してしまった後のふるまいを見て、
情報漏洩などを未然、または最小限に防ぐという仕組みになります。

運用として、EDR製品は、管理手間も増えるため、単純なライセンスコストだけでは済まない場合もあるようです。
一概には言えませんが、EPP(アンチウイルスソフト)製品であれば、ウイルスパターンの更新は基本自動ですし、
EPPで処理された場合は悪意のあるものである場合が多く、ご検知は少ない部類になると思います。

ところが、EDR製品取り扱いの業者に確認したところ、ご検知なども多くあるようで、
正常な処理を悪意ある処理として遮断されてしまう場合もあるとのこと。
この点についてはWAF（ウェブアプリケーションファイアーウォール）にもみられる点で、攻撃が複雑化しているがために致し方ないのかもしれません。

そういった意味で、管理者（社内に）を少なくとも立てないと行けないものになると思います。

EDR製品をいれるべきか？

私の判断としては、EPPは必須（アンチウイルスソフト）
EDRについては、より改ざんや情報漏洩の危険性がある場合は入れた方が良い・・・という形でしょうか。

個人情報を扱うデータベースややりとりがある場合はEDRをいれるが、
単方向の情報発信（ユーザー向けに）であれば、不要という判断で良いと思います。

現在はEPP製品にEDR機能がオプションで選択できるものなど色々あります。
どうせ入れるならワンセットが楽ですよね。

因みに、XDR(Extended detection and response)という製品もあります。
これはEDRの検出範囲をさらに拡張したもので、「ネットワーク」「クラウド」「メール」「アプリケーション」など統合管理してくれます。

導入するならXDR製品が断然オススメそうです！

今後こういった知見もスタンダードになっていくのかもしれませんね・・・。

Maromaroオススメ

トレンドマイクロが提供するEDRなどを含むXDR製品を取り扱うパートナーとなりました。
導入をお考えの際は、是非ご相談をいただけますと嬉しいです！

以上、佐々木でした。