不審な動きも見逃さない！ゼロトラスト時代のマルウェア対策：「EDR」

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「EDR」（Endpoint Detection and Response）です。前回、MDM（Mobile Device Management）という端末管理の技術についてお話ししましたので、その延長線で端末をマルウェアなどから守る別の仕組みをご紹介します。

「それならウィルス対策ソフトと同じだな！」と思うかもしれません。が、ちょっと違うんですね～。違いが気になる方は続きをどうぞ！

EDRとは？

さっそくEDRとは何か、その概要を掴みましょう！

直訳すれば「エンドポイント（端末）での検出と対策」ですね。その言葉どおり、EDRは、「端末」に特化したセキュリティシステムです。でも、分かったような、分からないような。検知と対策をブレイクダウンしましょう。

このシステムは、端末の活動を常時監視し、異常な行動を即座に検知して対処することを目的としています。

ただ、EDRの最大級の特徴は、ただ不審な動きを検出するだけでなく、その場で具体的な対応策を実行（Response）できる点にあります。たとえば、マルウェアの侵入を検知した際には、すぐにその端末をネットワークから隔離し、さらなる感染の拡大を防ぐことが可能です。

検知後、一歩踏み込んで行動を起こすんですな！

アンチウイルスソフトとの違い

では、皆さまのパソコンにも入っているであろう「ウィルス対策ソフト」とな何が違うのでしょうか？分かりますか。

一般的なアンチウイルスソフトは、既知のウイルス（マルウェア）に対して非常に効果的です。これは、既に発見された脅威の特徴をデータベースに保存し、それに基づいて端末を保護するからです。

しかしながら、新種のマルウェアや複雑なサイバー攻撃には対応が難しいという欠点があります。ここでEDRの出番です！

EDRはアンチウイルスのように既知の脅威だけでなく、未知の脅威にも反応し、端末の振る舞いそのものを解析することで異常（アノマリ―）を捉えます。このため、新しいタイプの攻撃を検知し、さらに迅速に対応することができるのです。

なお、ここで思い出されるのが、IPS（Intrusion Prevention System）です。ネットワークへの侵入を検知し、さらに防止策まで行うシステムでした。しかし、こちらは、ゼロトラストモデルでなく「境界防御モデル」で機能しますよ。

EDRの主要な機能

EDRには、重要な機能がたくさん備わっています。上で少し触れましたがもっと掘り下げましょう。

最も基本的なのは、リアルタイムでの脅威検出機能です。これにより、セキュリティ上の問題が発生した瞬間に警告が発され、管理者はすぐに対応することが可能となります。

加えて、EDRはマルウェアだけでなく、不正なアクセスや異常なデータ転送など、様々な形の脅威を検出できるため、従来のセキュリティ対策では見逃されがちな細かなサインも見逃しません。頼もしい！

さらに、問題が発生した際には、詳細なログを提供し、それに基づいて問題の原因を追求することができます。

ウィルス対策ソフトをはるかに超える多彩な機能をもっていますね！

ゼロトラストモデルに不可欠なシステム

ということで、EDRの機能を見てきましたが、ここまでの機能が必要でしょうか？疑問に感じますよね。しかし、EDRは、ゼロトラストの実現には重要なシステムです。

ゼロトラストは「何も信じない」というセキュリティの原則です。つまり、どんな端末も最初から信用せず、すべてのアクセスを検証する必要があります。

特にリモートワークが増え、企業のネットワーク境界が曖昧になる中で、端末レベルでのセキュリティ対策は今後さらに重要になってくのではないでしょうか？

はい、本日はここまで！本日は、端末のセキュリティの要「EDR」についてご紹介しました！