テレワーク/リモートワークの加速やクラウドサービスの利用拡大などを背景に、企業のセキュリティ環境が大きく変化している。従来は社内ネットワークと社外のインターネットの境界にファイアウォールなどのネットワークセキュリティ機器を配置してサイバー攻撃を防御してきた。だが、テレワーク/リモートワーク環境はこうした社内・社外の境界で防御することができず、端末ごとのエンドポイントを軸としたセキュリティ対策が必要になる。
一方、エンドポイントセキュリティの課題も浮かび上がっている。未知のマルウエアやファイルレス攻撃など、サイバー攻撃の手口は進化しており、マルウエア攻撃を防御するアンチウイルス対策などのEPP(Endpoint Protection Platform)では昨今の脅威に対抗するには十分といえないのが実情だ。アンチウイルス対策をすり抜けたマルウエアに端末やサーバーが感染した場合、駆除するには問題の特定や隔離などが行えるEDR(Endpoint Detection & Response)による対策が必要になる。
「EPPとEDRは同じものと誤解する人もいるようですが、まったく違います。EPPは防御を目的としたツールであるのに対し、EDRは端末やサーバーからの情報を収集し、脅威の検知やログの探索を自動化してインシデント対応の迅速化と被害の深刻化を防ぐためのツールです」とヴイエムウェアの大久保智氏はEPPとEDRの違いを解説する。

セキュリティ事業部
シニアセールスエンジニア
大久保 智 氏
インシデント対応では、検知(問題の特定)、封じ込め(隔離)、調査(ログ収集・分析)、復旧(収束)といったフローに沿った手順が必要になる。「もしEDRを導入していない場合、インシデント対応で様々な課題を抱えることになるのです」と大久保氏は問題点を指摘する。例えば検知の場合、感染疑いのある端末を特定するために様々なログを収集・分析しなければならず、手間と時間が非常にかかる。
こうしたインシデント対応の課題を解決し、リモートワーク環境などでのエンドポイントセキュリティの強化策となるのがEDRだ。