1億3747万種――。何の数字かお分かりだろうか。実はこれ、2018年の1年間に発見された新種のマルウエアの数だ。ドイツの独立系セキュリティーソフト評価機関「AV-TEST」が把握したもので、毎秒4.4種類のマルウエアが誕生していた計算になる。

 同機関によれば2012年に3440万種だった新種マルウエアの数は翌2013年に8000万種を突破した。2014年には1億4000万種を超えた。その後も毎年1億2000万種以上のマルウエアが生まれ続けている。

 いわゆるシグネチャーベースのパターンマッチングで攻撃を見分ける従来のウイルス対策ソフトは、マルウエアが今ほど数多く出回らなかった時代には効果を発揮した。だが、今この瞬間にもマルウエアが急激に増殖し続けている現代では万全とは言えない。未知の手法によって攻撃を受け、パソコンなどエンドポイント(端末)がマルウエアに感染してしまうリスクは排除できない。

 こうした問題に対処するために開発されたのが「EDR」だ。EDRとは「Endpoint Detection and Response(エンドポイントにおける検出と対応)」の英語の頭文字を取った言葉。端末におけるセキュリティーの脅威を検出して対応する手法と、そのためのソフトウエア製品を指す。

 EDR製品はウイルス対策ソフトと併用する形で、パソコンなどの端末に「エージェント」と呼ぶ専用ソフトを組み込んで使うのが一般的だ。ウイルス対策ソフトがサイバー攻撃から端末を守る「門番」だとすれば、EDRはいわば端末に対する「監視カメラ」。端末内部の情報を収集・可視化して異常な振る舞いを見つけ出す機能や、マルウエアの“悪事”を封じ込めて調査する機能を備える。攻撃を受ける前提で、被害を最小限に抑えることを目的に導入する製品である。

 EDR製品で先行したのは米クラウドストライク(CrowdStrike)、米サイバーリーズン(Cybereason)などの新興セキュリティー企業だ。そして現在は米マカフィー(McAfee)やトレンドマイクロなどウイルス対策ソフトの老舗企業もEDRに進出しており、米マイクロソフト(Microsoft)も力を入れている。各社の主要製品を参考にして、EDRの特徴的な機能を見ていこう。

 EDRによる対策の起点になるのは、端末に組み込んだエージェントだ。これで端末内部の挙動を常時監視し、アプリケーションや起動中のプロセス、ネットワーク、レジストリ操作、イベントログなど様々な情報も記録していく。さらにクラウドや監視センターも連携しながら、被害の「検知」と「封じ込め」、「調査」3つの対策を実現する。

EDRが備える4大機能
機能概要
検知端末をモニタリングし、攻撃と思われる異常な振る舞いを検知
封じ込め感染が疑われるパソコンの通信の遮断や問題のプロセスの停止
調査侵入経路や感染源、感染の広がり方、外部への通信の痕跡を調査
修復マルウエアによって変更されたシステムやファイルの修復

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。