EDR とは

概要

EDR は「 Endpoint Detection and Response 」の頭文字をとったもので「エンドポイントの検出と応答」という意味です。

この表現は、 PC やサーバ等のエンドポイント端末において、脅威の検出とその際の応答を可能とする類のツール、ソリューション、サービスを指してしばしば使われます。

EDR を導入すれば、従来のアンチウイルスソフトでは対応できない脅威を見つけ出し、一次対応はもちろん、その後の二次対策までを短期間で実行することが可能になります。

解説

EDR の登場

あるデータによると、一日に発見される新しい脅威ファイルは 35 万件といいます。

新しい脅威は最新の定義ファイルの防御機能をすり抜け、世界規模で甚大な被害を与えました。定義ファイルによる防御機能だけではエンドポイントを守れない時代となったのです。

そこで必要とされたのは脅威感染を前提とした対策でした。

2013 年、 EDR というソリューションが定義され世の中に知れ渡ることとなりました。EDR を導入すれば、エンドポイントの動きすべてをモニタリング・解析することができます。解析により、侵入ルートや手法、原因を把握することが可能です。

EDR の特徴

ほとんどの EDR はエンドポイントへモジュールをインストールします。各モジュールは、モニタリングしたエンドポイントの動きをデータベースに保存します。データベースでは解析が行われ、脅威と判断されたファイルや動作について検知アラートを出します。

EDRソリューションは製品によって特色があります。

モニタリングの範囲（すべて / 一部）、データベースの保存先（エンドポイント上 / バックエンドサーバ）、導入済のセキュリティソリューションとの連携有無、 3rd パーティの脅威情報との連携の容易さ、等々、導入環境に適したツールを選定することで EDR ソリューションはその威力を十分に発揮するでしょう。

EDR の運用

EDR の機能は豊富です。そのため、十分な運用のために一定の知識とスキルを必要とする場合がほとんどです。

IR チームや SOC チームを有する企業であれば、導入後の運用効率、防御効率は劇的に改善するでしょう。もちろん、このようなリソースを持たない企業向けに、外部委託による運用サービスも提供されています。

検討時には、運用とあわせて相談されることをお勧めします。

本ページは、情報セキュリティ分野で利用される範囲における用語解説を目的としている為、表現に正確性に欠ける場合がございます。あらかじめご了承ください。