サイバー攻撃のニュースを見ると、「ランサムウェア」「情報漏えい」「システム停止」などの被害が頻繁に報道されています。
しかし多くの企業では、
「ウイルス対策ソフトを入れているから大丈夫。外部からの攻撃は防げているはず。」
と考えているケースも少なくありません。
実は現在のサイバー攻撃は、従来のウイルス対策ソフトだけでは防ぎきれないものが増えています。特に近年は、企業のパソコンを直接狙う“エンドポイント攻撃”が増えています。
そこで注目されているのが EDR(Endpoint Detection and Response) です。
本記事では、
EDRとは何か
ウイルス対策ソフトとの違い
なぜ今エンドポイント対策が重要なのか
について、分かりやすく解説します。
EDRとは
Endpoint Detection and Response(エンドポイント検知・対応)
の略で、企業の端末を常に監視し、異常な動きを検知して対応するセキュリティ対策です。
ここでいう エンドポイント とは、
社員のパソコン
ノートPC
社内サーバー
テレワーク端末
など、企業ネットワークにつながる端末のことを指します。
EDRはこれらの端末の
プログラムの動き
ファイルの操作
ネットワーク通信
ログ情報
などを継続的に監視します。
そして、「通常とは違う動き」があった場合に、管理者へ通知したり、端末を隔離したりして被害拡大を防ぎます。
つまりEDRは、「侵入された後の異常を検知するセキュリティ」と言えます。
従来のセキュリティ対策は、「ウイルスを入れない」ことが主な目的でした。しかし現在は、
未知のマルウェア
正規ツールを悪用した攻撃
社内に侵入してから活動する攻撃
などが増えており、侵入を完全に防ぐことが難しくなっています。そのため、このEDRの「侵入された後に気付ける仕組み」が重要なセキュリティ対策になってくるのです。
最近のサイバー攻撃では、企業のパソコンが最初の侵入口になるケースが多くなっています。
例えば、社員の次のような操作がきっかけで侵入されるケースがあります。
メールの添付ファイルを開いてしまう
フィッシングサイトで認証情報を入力する
ソフトウェアの脆弱性を悪用される
こうしたことがきっかけで攻撃者に侵入されると、攻撃者はそのパソコンを足掛かりにして
社内ネットワークを調査
サーバーへ侵入
データを盗み出す
ランサムウェアを実行
といった行動を行います。
つまり企業のセキュリティでは、社員のパソコン(エンドポイント)が最前線になっているのです。そのため現在ではエンドポイント対策の強化が重要だとされています。
多くの企業ではすでにウイルス対策ソフト(EPP;Endpoint Protection Platform)を導入していると思います。
これまでのセキュリティ対策は「壁を高くして、侵入させないこと」に主眼が置かれてきました。しかし、EDRの考え方は根本的に異なります。簡単に言うと、それぞれの役割は次の通りです。
| ウイルス対策ソフト | 侵入を防ぐ(予防) |
| EDR | 侵入後の異常を検知する(検知・対応) |
ウイルス対策ソフトは主に
既知ウイルスのパターン検知
危険なファイルのブロック
不審サイトの遮断
などによって、既知のマルウェアの侵入を防ぐ仕組みです。
一方、EDRは
端末の動作ログ
アプリケーションの挙動
ネットワーク通信
などを継続的に監視し、「怪しい行動」を検知します。
例えば次のようなケースです。
深夜に突然大量のデータ通信
管理者権限を取得しようとする不審な動作
普段使われないツールの起動
このような異常を検知すると、EDRは
端末をネットワークから隔離
管理者へアラート通知
被害範囲の調査
などの対応をします。つまりEDRは、「侵入後の被害拡大を防ぐ」働きをするのです。
「サイバー攻撃の侵入を100%防ぐことは不可能である」という前提に立ち、侵入した後の動きを素早く検知し、被害を最小限に抑えることがEDRの基本コンセプトです。
これまでのウイルス対策ソフトが「泥棒を家に入れないための鍵や防犯カメラ」だとしたら、EDRは「家の中に忍び込んだ泥棒の動きを察知し、警察へ通報して被害を食い止める人感センサー」のような役割を果たします。
ウイルス対策ソフト+EDRという組み合わせで、より強い防御が可能になります。
EDRが注目されている背景には、サイバー攻撃の変化があります。
そのひとつは、従来のような「ウイルス」ではなく、正規のソフトウェアを悪用する攻撃です。例えば、
PowerShellなどの管理ツールの悪用 → パソコンに最初から備わっている正規のプログラム(PowerShellなど)を悪用するため、ウイルスとして検知されにくい。
リモート管理ツールの乗っ取り → 盗んだログイン情報を使い、正規のユーザーとして侵入する。
正規ソフトの脆弱性利用 → データベースに登録されていない、作りたての未知のウイルス(ゼロデイ攻撃)は素通りしてしまう。
などです。この場合、ウイルス対策ソフトでは「正常なプログラム」と判断されることが多いため、検知が難しくなります。
また、現在の攻撃は、侵入後に時間をかけて活動するものが多くなっています。
例えばランサムウェア攻撃では、
メールなどから侵入
社内ネットワークを調査
管理者権限を取得
重要サーバーへアクセス
データを暗号化
というように、数日から数週間かけて攻撃が進行するケースもあります。
この間には
不審なログイン
異常な通信
権限変更
などの兆候が発生します。
EDRはこれらを監視することで不審な動きの連続を検知し、攻撃の途中で気付く可能性を高めることができます。
「サイバー攻撃は大企業の問題」と思われがちですが、実際には中小企業も多く狙われています。その理由は主に次の3つです。
①セキュリティ対策が弱い
中小企業では
専任担当者がいない
監視体制がない
セキュリティ投資が少ない
といったケースが多く、攻撃者にとって侵入しやすい対象になります。
②サプライチェーン攻撃
大企業を直接攻撃するのではなく、取引先の中小企業を踏み台にする攻撃も増えています。
③ランサムウェアの標的
中小企業は
バックアップ体制が弱い
復旧手段が限られる
ことが多いため、攻撃者から見ると身代金を払う可能性が高いと判断される場合があります。
もし、貴社が起点となって取引先に被害が及んだ場合、どうなるでしょうか?
損害賠償請求: 取引先のシステム復旧費用や営業損失の補填。
信頼の失墜: 「あの会社はセキュリティが甘い」というレッテルを貼られ、契約解除に追い込まれる。
事業停止: 自社のデータが暗号化(ランサムウェア)され、数週間仕事が止まる。
EDRを導入することは、自社を守るだけでなく、「取引先への責任を果たす」というビジネス上の信頼維持に直結するのです。
ここで重要なポイントがあります。
それはEDRは導入するだけでは十分ではないということです。
EDRは端末の異常を検知すると、
アラート通知
ログ記録
脅威情報
などを出します。
そしてそれに対して
アラートの分析 → 本当に攻撃なのか
攻撃の調査 → 誤検知ではないか
対応判断 → どこまで影響があるのか、どの端末を隔離すべきか
初動対応のスピード → 侵入から数分でデータが盗まれることもあるため、即座に対応しなければならない
などの判断・対応をするための専門知識が必要です。
多くの中小企業では
セキュリティ専門人材がいない
24時間監視ができない
ログ分析が難しい
という課題があります。
その結果、EDRを導入してもアラートが活用されないあるいは放置されるケースもあります。EDRは、ツールだけではなく運用体制が重要なのです。
EDRを効果的に活用するためには、上記でも述べたように
アラート監視 → アラートを誰が確認するのか
脅威分析 → 異常をどう判断するのか
インシデント対応 → 被害が疑われる場合どう対応するのか
といった体制が必要になります。
そのため最近では、EDRと合わせてSOC(セキュリティ監視センター)を活用する企業も増えています。
SOCでは、
セキュリティ専門家による監視
異常検知
対応アドバイス
などが行われるため、企業は高度な監視体制を活用できるというメリットがあります。このように、現在のセキュリティ対策は「ツール導入」だけではなく「監視体制の構築」が重要になっているのです。
SOCについては、こちらの記事でも詳しく解説しています。
→ SOCとは?中小企業に監視体制は必要か|SIEM・MDRとの違いも解説
EDRは、企業の端末を監視し、サイバー攻撃の兆候を検知するセキュリティ対策です。
ウイルス対策ソフトとの違いは次の通りです。
ウイルス対策ソフト → 侵入を防ぐ
EDR → 侵入後の異常を検知する
ただしEDRはツールを導入するだけでは十分ではなく、
監視
分析
対応
といった運用体制が重要になります。
特に中小企業では、専門人材が不足しているケースも多いため、外部の監視サービス(SOCなど)を活用するという選択肢を検討する価値があります。
サイバー攻撃は、もはや「いつか起きるもの」ではなく、いつ起きてもおかしくない経営リスクです。
まずは自社のエンドポイント対策が十分かどうか、一度確認してみることをおすすめします。
セキュリティ対策は、ツール導入だけでは十分ではありません。
LYSTでは
セキュリティ対策診断
SOC導入支援
中小企業向けセキュリティ体制構築
などの支援を行っています。
「自社の対策が十分か分からない」という企業様はお気軽にご相談ください。