(出所:123RF)
(出所:123RF)

 テレワークなどリモート環境でのビジネス活動の拡大に伴って、パソコンなどネットワークの末端にある機器を保護する「エンドポイントセキュリティ」が注目されている。その中で「EDR(Endpoint Detection and Response)」は、端末の一連の挙動から不審な点を検知し、迅速に対応する役割を担っている。

 本記事ではEDRとは何か、メリットとデメリット、基本的な機能、製品・サービスの価格相場、活用のポイントを、セキュリティソリューションを手がけるラックの佐藤敦氏と木本悠佑氏が解説する。併せて、日経クロステックActiveの記事から、代表的な製品・サービスや事例などをまとめて紹介する。

初回公開:2021/09/20
最終更新:2021/10/4

目次

★知る
1. エンドポイントセキュリティにおけるEDRとは
2. EDRを導入するメリットとデメリット
3. EDRの基本的な機能
★選ぶ
4. EDRの製品・サービス例
5. EDR製品・サービスを選定する際のポイントと価格相場
★使う
6. EDRを活用する上でのポイント
7. EDRの代表的な事例
8. 注目のEDR関連製品とサービス
9. EDRの新着記事

*「1. エンドポイントセキュリティにおけるEDRとは」「2. EDRを導入するメリットとデメリット」「3. EDRの基本的な機能」「5. EDRの製品・サービス分類と価格相場」「6. EDRを活用する上でのポイント」は佐藤氏と木本氏が執筆

1. エンドポイントセキュリティにおけるEDRとは

 EDR(Endpoint Detection and Response、エンドポイントでの検知と対応)は端末上のプログラム実行やファイル操作などの動作を記録し、一連の挙動から不審な点を判断する仕組みである。攻撃者がOSの管理用プログラムなどを悪用するなどマルウエアを使用しない場合でも、攻撃を検知できる。さらにリモートでのプロセス強制終了やファイル削除などの機能も備えているため、攻撃検知後の迅速なインシデント対応が可能となる。

(出所:123RF)
(出所:123RF)

 組織でセキュリティインシデントがよく発生するのが、社員が使うパソコンなどネットワークの末端にある機器(エンドポイント)である。「エンドポイントセキュリティ」とは、パソコン、スマートフォン、サーバー、IoT端末などネットワークの末端にあるデバイスを守るためのセキュリティ対策である。近年は「NGAV(次世代アンチウイルス)」、「EDR」、「アプリケーションサンドボックス」などに多様化している。

 従来のウイルス対策ソフト(EDRに対して「EPP:Endpoint Protection Platform」と呼ぶ)は、一般的に既知のマルウエアと合致するかどうかをパターンマッチングにより判定する仕組みである。このため、未知のマルウエアを検知できないという課題を内包していた。先ほど紹介した3つの新しいエンドポイントセキュリティは、この課題に対応すべく生まれたソリューションといえる。

 NGAVは、AI(人工知能)や機械学習を利用して自らマルウエアの特徴を学習し検知する仕組みを備え、未知のマルウエアにも対応している。アプリケーションサンドボックスは、アプリケーションを実行する保護された領域を用意し、デバイス全体に影響を及ぼさないようにする技術である。そしてEDRは、端末の動作を記録し、それに基づいて不審な点を見つけ出す。

 従来のセキュリティは、組織の外部/内部ネットワークの境界部分にセキュリティ機器を配置して防御する「境界防御」が主流だった。だが境界防御では防御が難しいテレワークが拡大したことで、リモートでのインシデント対応の必要性が高まった。その結果、EDRに脚光が当たっている。EDRは「信頼せず、常に確認する」というゼロトラストセキュリティを実現する技術として、今後も必要性が高まっていく。

2. EDRを導入するメリットとデメリット

 EDRの導入により、企業にもたらされるメリットとデメリットは以下の通りだ。

EDRのメリット

 EDRの採用による企業側のメリットは、(1)EPPによる端末防御の限界をクリアできる、(2)テレワークなど端末利用環境の変化に対応できる、(3)フォレンジック調査よりも詳細な調査を迅速にできる、(4)迅速な初動対応ができる――などが挙げられる。

(1)EPPによる端末防御の限界をクリアできる

 EPPでは検知できない端末のメモリー上でのみ動作するマルウエア(ファイルレスマルウエア)や、マルウエアを使用しない攻撃も検知できる。

(2)テレワークなど端末利用環境の変化に対応できる

 EPPでは、管理サーバーを組織内ネットワークに設置するのが一般的だった。これでは、テレワークなど組織ネットワーク外で異常を検知しても管理サーバーと通信できず、管理者に検知アラートが通知されない。

 これに対して多くのEDRは管理サーバーがクラウド上に存在する。インターネット接続が可能な環境ではどこからでもEDRの監視下となり、検知アラートは即時に管理者へ通知される。

(3)フォレンジック調査よりも詳細な調査を迅速にできる

 従来、端末を起点とするセキュリティインシデントの原因調査では、ハードディスク上に残った痕跡を基に原因を調査する「フォレンジック調査」が一般的だった。しかし、調査には時間を要した。攻撃者が意図的に痕跡を消したために原因を特定できない場合もあった。

 EDRは、エンドポイント上のプログラム実行やファイル操作などの挙動を詳細に記録し、ログを容易に検索可能な状態で管理サーバー内に保管する。フォレンジック調査よりも迅速かつ詳細な調査が可能であり、攻撃者が意図的に痕跡を消していてもログを基に原因を特定できる。

(4)迅速な初動対応ができる

 これまで、セキュリティインシデントが発生した場合は、LANケーブルを抜線するなど端末を物理的に隔離し、証拠保全(ハードディスクの全内容をコピーする)などの現地作業が必要だった。

 EDRは、論理隔離機能(端末を管理サーバー以外と通信不可とする機能)やリモート対処機能(プロセス強制終了、ファイル削除、レジストリ修復など)を備えているため、迅速な初動対応が可能となり、現地作業が不要となる。

(出所:123RF)
(出所:123RF)

EDRのデメリット

 一方、EDRの採用による、企業側のデメリットとしては、従来の対策と比べてコストがかかることが挙げられる。

従来の対策と比べてコストがかかる

 EDRはEPPやNGAVに比べ検知ロジックが高機能で、取得した詳細な挙動をログとして一定期間保管する。このため、EPPやNGAVに比べてライセンス費用が高価となる。

3. EDRの基本的な機能

 セキュリティインシデントが発生した際、迅速に対応するためには、次の5機能が必要となる。

(出所:123RF)
(出所:123RF)

(1)端末の挙動を常に記録(ログ)に残す機能

 端末のあらゆる挙動を記録する機能である。例えるならEPPは「明らかに不審な脅威を阻止する警備員」で、EDRは「端末個々に取り付けられた防犯カメラ」といえる。この両方の組み合わせにより、効果的なセキュリティ対策を実現する(図1)。

図1●EPPとEDRの違い
図1●EPPとEDRの違い
[画像のクリックで拡大表示]

 原因調査で、不審な挙動に対する真偽や影響度を判断するには、プロセス起動・ファイル操作・通信先などのあらゆるログが平時から記録されている必要がある。EDRが必要な情報を取り出しやすい状態で保存していれば、詳細な調査結果を迅速に得られる。

(2)端末内での不審な挙動を検知する機能

 (1)で記録した情報を基に、マルウエアなどによるファイルの作成やプログラムの実行など、端末内で不審な挙動がないかを検知する機能である。検知能力は製品によって異なっており、EPPと同じ程度のものから、膨大な脅威インテリジェンス情報と連携した高度な能力を持つものまで幅がある。

(3)端末内の不審な挙動を阻止する機能

 端末内で検知した不審な挙動を阻止する機能である。端末上で未知のマルウエアが動作しようとしても、その実行時の挙動を基に阻止し、他の端末への感染など影響拡大を防ぐ。

(出所:123RF)
(出所:123RF)

(4)端末をネットワークから論理的に隔離する機能

 端末内で不審な挙動を検知したときに、一時的な措置として、ネットワークに接続されている端末を論理的に隔離する機能である。論理的に隔離された端末は、物理的にはネットワークに接続されていても、インターネットや他の端末への通信が制限され、EDRの管理サーバー以外とは通信ができない状態となる。

(5)端末を修復する機能

 端末内に作成された不審なファイルの削除やプロセスの強制終了、レジストリ修復などを実行する機能である。リモートからの操作も可能で、端末のある現地に行かなくてもインシデントに対応できる。

4. EDRの製品・サービス例

 EDRの例として、日経クロステック Activeの製品データベース「製品&サービス:IT」から5製品を紹介する。

5. EDR製品・サービスを選定する際のポイントと価格相場

EDR製品・サービスを選定する際のポイント

 EDR製品を選定する際のポイントは、次のとおりである。

(1)ログの記録が常時記録方式であること

 EDRのログ記録方式は、ドライブレコーダーの記録方式と似ている。その記録方式は、「常時記録方式」と「イベント記録方式」に大別される(図2)。

  • 常時記録方式…検知有無や内容に関係なく全ての動作を記録する
  • イベント記録方式…不審な挙動を検知した場合のみ動作を記録する
図2●常時記録とイベント記録のイメージ
図2●常時記録とイベント記録のイメージ
[画像のクリックで拡大表示]

 イベント記録方式は、ネットワーク監視などの他のセキュリティ製品で検知した場合などでは、動作を記録していないため過去にさかのぼって調べられない。どのようなインシデントでも十分な調査をするためには、常時記録方式のEDRを選択する必要がある。

(2)自動的に検知設定が更新可能であること

 EDRは、実行されたプログラムの親子関係や通信先などの情報を分析し、不審な挙動かどうかを判断して検知する。検知の基準となる情報は、新たな攻撃手法が見つかった際に更新が必要となる。その更新方式には、「手動更新方式」と「自動更新方式」がある。

  • 手動更新方式…検知の基準となる情報を手動で組み込む方式
  • 自動更新方式…検知の基準となる情報を自動で組み込む方式

 手動更新方式では、EDR購入直後は検知設定が何もない状態であるため、ユーザーが設定を自分の組織に合わせて組み込む。新たな攻撃手法が見つかった場合は、その手法を調べて設定に反映させるなど、場合によっては専任の担当者を設けるなどして、ユーザーが検知設定を常にチューニングし続ける必要がある。

 自動更新方式は新たな攻撃手法が見つかった場合に、EDRベンダーが検知ロジックを自動的に作成して反映する。ユーザーはメンテナンスが不要で、新しい情報を設定する必要はない。

 EDRの運用をアウトソーシングする場合、手動更新方式のEDRは運用に手間がかかるため、サービス費用が高くなる傾向がある。

(3)詳細調査が可能な検索機能を有していること

 EDRによる調査では、主に記録されているログを使う。ほとんどのEDR製品が実装している単純な検索機能だけでは、ログの量が膨大になるとノイズが多くなる。

 アラートが発生した際に、膨大な量のログから効率よく調査するには、複雑な条件による検索が必要になる。プログラム実⾏やネットワーク通信などの複数イベントのログを組み合わせたり、ノイズとなるログを除外したりといった具合だ。

 ところが製品によってはこれが難しい。例えば、詳細な検索機能が実装されていない製品がある。詳細検索が可能でも、ログの保存期間が非常に短く、インシデント発生時にログが残っておらず調査が実質できない製品もある。その点に注意して製品を選択したい。

(4)対処機能を有していること

 インシデント発生時に迅速に対処するには、「被害拡⼤防⽌に必要な機能」と「詳細調査・復旧に必要な機能」をリモートでも利用できることが望ましい。これらの機能がないと、現地でのLANケーブルの抜線や端末回収などが必要となり、テレワークへの対応が難しくなる。

被害拡大防止に必要な機能

  • 端末の論理隔離・解除機能…端末をネットワークから論理的に切り離し、EDRの管理サーバー以外との通信を止める

詳細調査・復旧に必要な機能

  • ファイル取得・削除機能…端末内に存在する特定ファイルを取得・削除する
  • プロセス停止機能…端末内で動作している特定のプロセスを停止させる
  • 端末の遠隔操作機能…端末が論理隔離された状態であっても、コマンド入力によるファイル一覧、プロセス一覧表示などの遠隔操作ができる
(出所:123RF)
(出所:123RF)

 上記全ての機能を持った製品は少ないが、被害拡大防止のために最低でも「端末の論理隔離」機能は必須である。

 遠隔から隔離はできるが、隔離解除ができない製品などもある。実際の運用に必要な機能を有しているか確認することを推奨する。

EDR製品・サービスの価格・料金相場

 これらの機能を有したEDR製品の価格相場は、定価ベースではEPPのライセンス費用の1.5倍から2倍程度となっている。

 ただし、各ベンダーがEDRを独自に定義した上で販売している。その中には「EPPに多少の機能を追加した」程度のEDRも存在し、EPPとそれほど変わらない価格で購入できるものも存在する。

 導入を検討する際は、その製品で「できること・できないこと」を見極め、組織に有用か否かを確認した上で、価格面を比較することが重要である。

6. EDRを活用するうえでのポイント

 EDRを効果的に活用するためには、以下の3点が重要になる。

導入目的の明確化

 EDRを導入する際には、「何を目的として導入するのか」を明確にする必要がある。トップダウンでEDRの導入が決定した場合、EDRの導入自体が目的化するケースもあるが、基本的には「インシデント発生時に説明責任を果たすための手法」として導入するべきである。

インシデント対応方針の明確化

 アラート発生時の対応は、組織の方針によって大きく異なる。説明責任を重視する方針の組織では、原因調査後にさらに対策を検討するなどの対応が考えられる。コストを重視する組織では、原因調査をしないまま端末を初期化して運用を再開するといった対応もありえる。

運用負荷を考慮した製品・サービスの選定

組織のセキュリティ運用と照らし合わせ、EDRに必要な機能を見極めた上で、運用負荷が軽減されるような製品・サービスを選定する。 EDRによる原因調査には高度なフォレンジック調査の知見が必要である。組織だけで調査が難しいのであれば、EDR運用を外部の専門家に任せる「マネージドEDRサービス」の活用も選択肢となる。

 テレワークやクラウドサービスが普及するとともに、ネットワークでの境界防御はその効果が薄れている。端末そのものを監視するEDRは、エンドポイントセキュリティの対策として非常に有用であるが、従来のEPPと異なる運用が必要となる。製品・サービスの選定に合わせて、組織の運用方針を詳細化しておくことが重要となる。

7. EDRの代表的な事例

8. 注目のEDR関連製品とサービス

 EDRを導入して現場で活用するには、様々な手助けをしてくれる製品やサービスを利用するとよりスムーズに進む。以下では、注目のEDR関連製品とサービスを紹介する。

ExtraHop Networks

SBテクノロジー

SentinelOne Japan

サイバーリーズン・ジャパン

ダークトレース・ジャパン

ネットワールド

マクニカネットワークス/ファイア・アイ

日立ソリューションズ

富士ソフト

9. EDRの新着記事

佐藤敦(さとう・あつし)、木本悠佑(きもと・ゆうすけ)
ラック
佐藤敦(さとう・あつし)、木本悠佑(きもと・ゆうすけ) 佐藤(写真左):元千葉県警察サイバー犯罪特別捜査官。法執行機関、監査法人にてサイバー犯罪事件捜査や企業内不正調査などに従事。2017年にラック入社。現在、サイバー救急センター フォレンジックサービスグループマネジャー。CISSP、情報処理安全確保支援士、公認不正検査士。
木本:2012年にラック入社。サイバー事件・事故を救済する同社サイバー救急センターに6年間従事。2018年に端末への脅威を継続的に監視して守る「マネージドEDRサービス」を立ち上げ。現在、マネージドEDRサービスのアナリスト兼グループリーダー。