「EDR」をわかりやすく解説!従来のセキュリティとの違いとは
目次[非表示]
- 1.はじめに
- 2.EDRとは?
- 2.1.EDRが必要とされる背景
- 3.EDR導入で得られる効果とは
- 3.1.ウイルスの侵入をすばやく検知できる
- 3.2.被害を最小限に抑えられる
- 3.3.被害の範囲や侵入経路を把握できる
- 3.4.原因の特定が可能になる
- 4.EDRのみでなく、多方面からの対策が重要
- 5.EDRとあわせて活用したいセキュリティツール
- 5.1.MDM
- 5.2.CLOMO
- 5.3.SPPM
- 5.4.Lookout
- 5.5.mobiconnect
- 5.6.Optimal Biz
- 6.セキュリティ対策ツールの活用事例【日本キャタピラー合同会社】
- 7.従来型のセキュリティソフトとEDRを併用した対策が重要
はじめに
近年のサイバー攻撃は年々高度化しており、従来とは異なる対策方法が求められているなかで「EDR」が注目を集めています。
従来のセキュリティ対策ソフトは「ウイルスの侵入を防ぐもの」が主流でした。一方EDRはウイルスの侵入を前提に作られたセキュリティで、よりアクティブかつリアルタイムな対処ができる仕組みです。
本記事ではEDRの概要を解説するとともに、組み合わせて使用したいおすすめのセキュリティツールをご紹介します。
■合わせて読みたいページ
EDRとは?
EDR(Endpoint Detection and Response)とは、サイバー攻撃に対してエンドポイントでの検出や対応を行うセキュリティソフトウェアです。標準型攻撃はもちろん、ランサムウェアによる被害にも対応します。
2013年に誕生した比較的新しい定義で、ホスト/エンドポイントを常時監視し、不審な挙動やその痕跡を検出した場合は分析処理による調査と管理者への報告が行われる仕組みです。
EDRが必要とされる背景
EDRの必要性が認識されるようになった理由は、従来のセキュリティシステムが抱えていたデメリットにあります。これまで主流となっていたセキュリティはウイルスやマルウェアの侵入を防ぐことを目的としており、「侵入が防止できれば感染によるトラブルを軽減できる」と考えられていました。
しかし侵入されないことや感染しないことに重点を置きすぎると、万が一侵入を許した場合に発見や対応が遅れやすく被害が拡大する恐れがあります。よりセキュリティレベルを高めるためには、侵入を防ぐだけではなく、侵入後の対応速度を向上させる工夫も必要です。
そこで、サイバー攻撃を受けることを前提としたEDRへの注目が高まっています。
EDR導入で得られる効果とは
EDRを導入すると、侵入のみを防いでいた従来のセキュリティシステムよりもアクティブなサイバー攻撃対策が可能です。具体的には、以下のような効果が期待できます。
ウイルスの侵入をすばやく検知できる
EDRはエンドポイントにおける操作や動作を常時監視しているため、ウイルスの侵入などサイバー攻撃を受けたときの不審な挙動をすばやく検知します。
従来のセキュリティはあらかじめデータベースに登録されているウイルスの侵入を防ぐ役割を果たすため、未知のウイルスに対する効果が期待できません。その点EDRは挙動を監視するため、すばやく検知・対策できるのが強みです。
被害を最小限に抑えられる
悪意のある攻撃を検知するとプログラムの強制終了やコマンド停止などの対処が行えるため、被害を最小限に抑えられる点もメリットと言えるでしょう。
また、前述のとおり不審な挙動に対するリアルタイムな分析や通知により、利用者自身でも時間をかけずに検知と対処ができる点も被害拡大の防止につながります。
被害の範囲や侵入経路を把握できる
常時監視で不審な挙動は即座に分析処理しているため、被害を受けた際の範囲や侵入経路の把握も容易です。分析内容は侵入したマルウェアの種類や経路、目的など多岐にわたり、現在世界的に流行している種類かどうかも調査します。
情報漏えいの有無も確認し、万が一その可能性がある場合は被害の内容についても徹底的に情報収集を行います。
原因の特定が可能になる
侵入経路をはじめ多角的に調査と分析を行うため、被害が発生した原因の特定も可能です。たとえばエンドポイントの不審な挙動のログ記録を遡り、プログラムや動作をプロセスごとに解析することで、感染端末など原因となった機器や行動を究明します。
EDRのみでなく、多方面からの対策が重要
挙動を常時監視するEDRは、サイバー攻撃を受けた後の対処に効果的ですが、よりセキュリティを強化するためには、EDRの単独使用だけでなく多方面からの対策が必要です。ウイルス侵入を防いだり侵入後の被害を最小限に留めたりと、多重防御をおすすめします。
万が一の情報漏えいリスクや復旧コストを軽減できるよう、まずはウイルスやマルウェアの侵入を防ぐセキュリティソフトをEDRと併用することも検討しましょう。
EDRとあわせて活用したいセキュリティツール
近年はサイバー攻撃も高度化しており、「侵入させないこと」「不審な挙動を即座に検知・調査すること」の両軸で対策が必要です。ここではEDRとあわせて活用したいセキュリティツールを6つ紹介します。
MDM
MDM(Mobile Device Management)は、モバイルデバイス管理に特化したシステムやツール、ソリューションの総称です。出張や外回り中の営業担当者をはじめ、テレワーク中の従業員が端末から自社システムにアクセスするケースは珍しくない現代において、各社員のモバイル端末管理の難しさや情報漏えいリスクなどが問題視されています。
MDMは、複数の端末を自社で一括管理できるシステムです。端末のOSバージョンやインストールされたアプリ、使用状況を管理するだけではなく、機能制限もできるため業務用スマートフォンの貸与によって生じやすいトラブルのリスクに対処できます。
ツール詳細:MDM
CLOMO
CLOMO(CLOMO MDM)も、MDMと同じくモバイル端末を管理するためのツールです。端末の利用状況を確認するほかに操作の強制もリモートで行えるメリットがあり、ロックをかけていない端末に対してパスワード設定を促すなど、端末ごとのセキュリティレベルの差を解消できます。
ツール詳細:CLOMO
SPPM
SPPMも、スマートフォンやPCなどのモバイル端末を対象とした管理システムです。複数の端末をリアルタイムで管理できるほか、万が一紛失したときは端末にロックをかけるなどリモート操作で情報漏えいリスクの軽減にも対応しています。
また、端末は個別管理のほかに部門やチームごとの管理もできるため、グループごとに最適なサポートが行える点が特徴です。
ツール詳細:SPPM
Lookout
Lookout(Lookout Mobile Endpoint Security)もモバイル端末向けのセキュリティツールですが、使用状況の管理よりも脅威の予測に特化している点が特徴です。管理コンソールで一括管理している端末に対して、悪意あるWebサイトへのアクセス誘導をブロックできます。また、ウイルス感染の有無も確認できるため、早急な対処にも役立つでしょう。
ツール詳細:Lookout
mobiconnect
mobiconnectもMDMの一種ですが、他社にはない独自セキュリティによる対策が行えます。たとえば社員が必要に応じて私用端末を利用できるBYOD(Bring Your Own Device)を取り入れている場合、業務開始時にモード切替を行うだけでプライバシーを守りつつ私用端末の管理も可能です。
使用状況の一括管理はもちろん、端末ごとに最適な機能設定・環境設定をリモートで提供できる柔軟さも魅力と言えるでしょう。
ツール詳細:mobiconnect
関連記事:BYODとは?導入時におさえたいポイントやメリット、デメリットを解説
Optimal Biz
Optimal Bizは、専門知識がなくても手軽に操作できるUIが特徴的なMDMツールです。管理権限自体が不正利用されるリスクを軽減するために、管理サイトは事前に登録した機器からのアクセスのみを許可する認証制御設定を導入しています。
階層管理機能により、グループや組織ごとに振り分けて端末を管理することも可能です。
ツール詳細:Optimal Biz
セキュリティ対策ツールの活用事例【日本キャタピラー合同会社】
情報漏えいは自社の機密情報だけではなく、顧客情報を流出させてしまう恐れもあり、会社の信用問題に関わります。一方で業務効率化のためにはPCをはじめ業務用スマートフォンなど端末活用は必須です。そのため徹底したセキュリティ対策が欠かせません。
ここでは、セキュリティソフトの活用によって業務効率化とリスク軽減の両立に成功した日本キャタピラー合同会社の事例を紹介します。
日本キャタピラー合同会社は、世界最大手の建設機械メーカーとして知られる米キャタピラー社の直営販売会社です。CATブランドの建設機械などの販売、サービス提供を主に手掛けており、全国に約150の営業所を設置しています。
課題
同社は、米キャタピラー社から提供された業務効率化アプリを活用するため、全国で3,700台のiPhoneやiPadを段階的に導入しました。しかしセキュリティリスクや管理工数が増大し、効果的な業務効率化には至っていない状態でした。
また、セキュリティ対策としてMDMツールを導入していたものの、利用しているサービスでは各端末のアプリダウンロードまで制御できず、企業側が把握していないアプリの使用によるウイルス感染などのリスクが残っていました。
対策と結果
端末の機種変更に合わせて新たなデバイス管理ツールへの切り替えを検討した同社。求める条件は、3,700台の端末を一元管理できること、アプリのダウンロードを制限するなどより高度かつ豊富な管理機能を有することの2点です。
そして、それらの条件を満たしクラウドで環境構築できる「VMware Workspace ONE」の導入を決定しました。
導入後は不審なアプリの無断ダウンロードを防げるうえ、端末を誤って初期化してしまった場合は自動で自社仕様の設定を行えるように。結果として、手作業でのサポートを必要とするシーンが減少し、セキュリティリスクと管理工数の両方を軽減できました。
事例詳細については、こちらをご覧ください。
従来型のセキュリティソフトとEDRを併用した対策が重要
近年はウイルスやマルウェアといったサイバー攻撃の手口が高度化しており、従来のセキュリティだけを利用した対策も、EDRだけに頼る方法も安心とは言えません。従来型のセキュリティソフトとEDRを併用した対策が重要です。
また、テレワークなど業務上の理由で端末利用が必須となっている場合は、社内のPCや機器に加えて従業員へ支給した端末ごとの使用状況や不審なアプリの無断ダウンロードについても適切な対策が求められます。
コネクシオは丁寧なヒアリングによって根本的な課題を洗い出し、最適なツールの選定、導入から実際の運用までトータルでサポートします。自社に合ったセキュリティ対策をご希望の方は、ぜひご相談ください。
関連記事:情報漏洩のリスクと対策は?企業の個人情報漏洩やテレワークでの事例も解説
■合わせて読みたいページ
