EDR13製品を徹底比較|価格・比較項目・おすすめのEDR紹介まで
企業の情報セキュリティの重要性は年々高まっています。その背景にあるのが、高度化していくサイバー攻撃です。
従来のセキュリティ対策では対処しきれない状況になりつつあります。そこで、注目を集めているのが、「EDR」です。
本記事では、EDRの概要や価格、おすすめのEDRを紹介します。エンドポイントのセキュリティ対策でお悩みの方はぜひ参考にしてください。
目次
EDRとは?機能や導入効果を解説
EDRとは、「Endpoint Detection and Response」の略で、エンドポイント向けのセキュリティ対策の一つです。
エンドポイントはPCやスマホ、サーバーなどのデバイスのことをいいます。
EDRはエンドポイントの操作や動きを監視し、サイバー攻撃を受けた際に原因を特定して対処するソリューションです。
EDRの主な機能は以下のとおりです。
- エンドポイントの監視機能
- 検知・防御機能
- インシデント対策機能
- 解析・調査機能
高度化、巧妙化するサイバー攻撃から保護するためにも、エンドポイントのセキュリティ対策であるEDRが注目されています。
EDRの導入効果は?
EDRを導入することで、どのようなセキュリティ効果を得られるのか、ここでは、その導入効果について解説します。
具体的には以下のとおりです。
- 端末の挙動を常に監視できる
端末の挙動を常に監視し、異常が見つかれば端末を隔離します。 - 端末に不審な動きがあれば管理者に通知される
EDRが端末の不審な動きを検知すると、管理者に通知。管理者は迅速に対応することができ、問題の解決が可能です。 - サイバー攻撃の被害を最小限に抑える
端末に不審な挙動が見つかれば、管理者以外の通信を制限し、端末を隔離します。サイバー攻撃からの被害を最小限に抑えることが可能です。 - マルウェアに感染後、対策を迅速に行える
マルウェアに感染後、端末を隔離して危険性のあるファイルを削除します。管理者はリモート機能が使えるので、どこにいても対応が可能です。 - インシデント発生の原因を特定する
EDRが挙動を検知した端末を把握し、インシデント発生の原因を明確にします。 - マルウェアなどの被害の範囲を特定できる
EDRが不審挙動を検知し、端末がどの経路でどんなプログラムが実行されたのか、流出経路などを追跡できます。被害の範囲を特定し、迅速かつ適切な対応が可能です。
EPPとEDRの違い
よく混同されがちな「EPP」と「EDR」の違いを解説していきます。
EPPとは?
EPPとは、マルウェアがデバイスに侵入するのを防ぐ目的で利用されるソフトです。ウイルス対策ソフトとも呼ばれ広く利用されています。ウイルスバスターやNortonなどが代表的な製品例です。
EPPとEDRの違い
EPPとEDRの違いとしては、EPPがマルウェアの侵入自体を防ぐ役割、EDRが侵入後の被害を最小限に留める役割を担っています。
NGAVとEDRの違い
続いて、NGAVとEDRの違いを解説していきます。
NGAVとは?
NGAVとは「Next Generation Antivirus」の略で、EPPと同じくマルウェアの侵入自体を防ぐ役割を担います。NGAVと前述のEPPは同じ目的で利用されますが、技術面で違いがあります。
EPPは従来通りのパターンマッチングによりマルウェアを発見していたのに対して、NGAVはそこにAI・機械学習やふるまい検知の技術が加わっています。新たなマルウェアが登場しても対処可能だというメリットはありますが、稀にマルウェアではない通信までブロックしてしまうというデメリットもあります。
NGAVとEDRの違い
NGAVとEDRの違いは、NGAVがマルウェアの侵入自体を防ぐ役割、EDRが侵入後の被害を最小限に留める役割を担っています。
おすすめEDR13製品の特徴・価格を紹介
ここでは、おすすめのEDRを13製品ご紹介します。製品選びで迷っている方は、ぜひ参考にしてください。
- Symantec Endpoint Security
- SentinelOne(センチネルワン)
- BlackBerry Optics
- Cisco Secure Endpoint
- Apex One Endpoint Sensor
- ESET Enterprise Inspector
- Cybereason EDR
- Microsoft Defender for Endpoint
- McAfee MVISION(マカフィー)
- CrowdStrike Falcon Enterprise(クラウドストライク)
- Trend Micro Apex One SaaS(トレンドマイクロ)
- スマートEDR
- SKYSEA Client View
Symantec Endpoint Security
Symantec Endpoint Securityは、働き方が多様化した現代にも適合し、標的型対策にも適しているエンドポイントセキュリティです。
全てのデバイスとOSで業界最高レベルの保護を実現します。クラウド運用ができるので、社内外にある端末の一斉管理が可能です。
さらに、管理サーバーが不要になるため、総コストを抑えることができます。Symantecで製品を統一することにより、業界最高レベルのセキュリティ機能が利用でき、コストや運用上の不満点を解消できるでしょう。
Symantec Endpoint Securityの比較ポイント
- クラウド運用が可能
- アンチウイルス、EDR、NGAVなどの機能を一元管理できる
- モバイルセキュリティ機能も提供
製品情報
| 対象規模 | 全ての規模 |
|---|---|
| 価格 | 5~25ライセンス:月 330 円 / ライセンス 26~50ライセンス:月 300 円 / ライセンス 51~100ライセンス:月 250 円 |
| 提供形態 | クラウド/オンプレミス/ハイブリッド |
| 動作環境・OS | Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 ・Windows Server 2022 |
| サポート | サポートサイト、電話 |
SentinelOne
SentinelOneは今後さらに進化し続ける脅威に備えて構築された、世界初の自律型サイバーセキュリティです。AI自動運用が可能なEDRで、より広範囲に、より正確に脅威を阻止できます。
これだけの高性能にもかかわらず、SentinelOneは高額な保守運用コストが必要ありません。初期費用も0円です。
AIによる高速因子電対応で、安全性が高まります。コスパに優れたエンドポイントセキュリティを提供してくれます。
SentinelOneの比較ポイント
- 最高クラスのテクノロジー
- 権威ある企業から実績が評価されている
- 顧客満足度は98%
製品情報
| 対象規模 | 小規模なIT企業からフォーチュン10のエンタープライズまで全ての規模 |
|---|---|
| 価格 | 5,000円 ~ 12,000円 ※初期費用0円 サーバー構築費用等はかかりません。 |
| 提供形態 | クラウド / SaaS |
| 動作環境・OS | Windows OS / macOS/ Linux/ Android/ iOS |
| サポート | サポート窓口 (電話・メール・チャット) 平日9:00-18:00 SOCサポート 24時間/365日 |
CylanceOPTICS
CylanceOPTICSは、端末上の挙動を監視し、サイバー攻撃によるセキュリティ脅威の可視化、分析、調査を行い、迅速な対応を実現するEDR機能です。
CylanceOPTICSはEDR機能を提供する、CylancePROTECTのオプション製品になります。
セキュリティ脅威を自動的に検知して対処することで、被害を未然に防ぐのを目的としています。
クラウドベースなので、既存インフラの増強などは必要なく、簡単に導入できるのが特徴です。
CylanceOPTICSの比較ポイント
- AIを活用
- 導入が簡単
- 予防にフォーカス
製品情報
| 対象規模 | 全ての規模 |
|---|---|
| 価格 | 月額150円 年額1800円 |
| 提供形態 | クラウド |
| 動作環境・OS | Windows/macOS |
| サポート | 24時間365日WEBで受付 |
Cisco Secure Endpoint
Cisco Secure Endpointは、クラウドベースの次世代ウイルス対策機能、強力な EDR 機能、および統合型の XDR 機能を提供します。
グローバルセキュリティオペレーションセンターの専任チームが24時間体制でセキュリティ情報を提供。サイバー攻撃へのセキュリティ対策の最大化が可能です。
リスクベースの脆弱性管理や、さまざまな防御手法を駆使して攻撃対象を減らすことにも役立ちます。
Cisco Secure Endpointの比較ポイント
- 強力なEDR機能
- エンドポイントの状況をリアルタイムで可視化
- 専任チームが24時間体制で脅威に対処
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | SaaS / クラウド / ASP |
| 動作環境・OS | 要お問い合わせ |
| サポート | 要お問い合わせ |
Apex One Endpoint Sensor
Apex One Endpoint Sensorは、トレンドマイクロ株式会社が提供しているEDR製品です。
Apex One Endpoint Sensorは、ウイルス感染などの脅威を受けたときに、データ侵害を受ける前に脅威を検出して対応する機能です。
サイバー攻撃の特定、企業ネットワーク内の被害端末を迅速に可視化、インシデント調査・分析から対処まで、シームレスに実現する機能を提供します。
Apex One Endpoint Sensorの比較ポイント
- 影響範囲・被害に遭った端末を特定
- 被害端末をリモート隔離し対応
- 感染経路、未知の不正プロセスなどを簡単に把握
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 11,780円〜 |
| 提供形態 | オンプレ/SaaS |
| 動作環境・OS | Windows/macOS |
| サポート | 要お問い合わせ |
ESET Enterprise Inspector
ESET Enterprise Inspectorは、エンドポイントレベルでのマルウェア対策を30年にわたり手がけてきたESET社のノウハウをもとに開発された製品です。
組織内の端末から収集したアクティビティをもとに、端末上の不審な挙動を検知・分析・調査し、脅威から防ぐことができます。
ESET PROTECTソリューション オンプレミス型エンドポイントセキュリティと統一することで、ESETの強みである多層防御と統合的な分析が可能です。
ESET Enterprise Inspectorの比較ポイント
- シームレスな統合
- チューニング自在な検出感度
- Webコンソールによる管理機能
製品情報
| 対象規模 | 全ての規模 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | クラウド/オンプレ |
| 動作環境・OS | 要お問い合わせ |
| サポート | 要お問い合わせ |
Cybereason EDR
Cybereason EDRは不審な挙動をネットワーク環境内でないか常に監視し、クラウド上のAIエンジンにより情報を分析。リアルタイムにサイバー攻撃を検知します。
検知した後は、サイバー攻撃の詳細を通知してくれるので確認ができ、速やかに対処することができるサイバーセキュリティプラットフォームです。
Cybereason EDRの導入で、マルウェアの侵入を即座に検知し、攻撃を封じ込めることで被害を未然に防ぎます。
Cybereason EDRの比較ポイント
- AIを活用したリアルタイム検知
- 簡単に導入ができ、動作が軽快
- 軍事レベルのサイバー攻撃対策
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | クラウド |
| 動作環境・OS | Windows, Mac OS, Linux |
| サポート | 要お問い合わせ |
Microsoft Defender for Endpoint
Microsoft Defender は、エンタープライズネットワークによる高度化、巧妙化する脅威の防止、検出、調査、応答を支援するために設計されたEDR製品です。
攻撃を迅速に防ぎ、セキュリティリソースの規模を拡大し、防御を進化させます。全てのオペレーティングシステムとネットワークデバイスが対象です。
1つの統合プラットフォームからお客様の環境を把握し、高度な脅威から守り、アラートに対応できます。
Microsoft Defender for Endpointの比較ポイント
- 巧妙化する脅威を迅速に阻止
- 組織のセキュリティ体制をレベルアップ
- 防御を進化
製品情報
| 対象規模 | 中小企業、大企業 |
|---|---|
| 価格 | 【単体プラン価格】 380円〜(年契約月払の場合) |
| 提供形態 | クラウド |
| 動作環境・OS | Windows、macOS、Linux |
| サポート | 要お問い合わせ |
McAfee MVISION
McAfee MVISIONは、エンドポイントのセキュリティ対策をシンプルに一元管理します。
Windows10のDefenderによるマルウェア対策を活用し、McAfeeの機械学習ベースの脅威対策や、ランサムウェア対策のためのロールバックなどを組み合わせて、巧妙化する攻撃に対応します。
自動アップデートにより、常に最新の脅威に対策が可能です。また、機械学習の脅威対策で、高い精度で脅威を検出することができます。
McAfee MVISIONの比較ポイント
- パスワード盗難対策を搭載
- クラウド活用に対応
- McAfee独自技術のロールバック機能
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | クラウド |
| 動作環境・OS | Windows/その他は要お問い合わせ |
| サポート | コールセンター |
CrowdStrike Falcon Enterprise
エンドポイント端末のログをリアルタイムで収集、管理、監視し、脅威の検知、ブロックを行います。
検知した後はわかりやすく確認でき、即座に遠隔から対処、復旧までを実施可能です。
CrowdStrike Falcon EnterpriseはSaaS製品なので、オンプレサーバーなどは不要で各拠点の端末への製品の導入も簡単です。
CrowdStrikeでは、OverWatchという専門家チームが24時間365日体制で監視し、機械的な検知が難しい攻撃を人の目で見つけ出します。
CrowdStrike Falcon Enterpriseの比較ポイント
- SaaS製品だから各拠点の端末への製品導入が簡単
- 専門家チームがお客様を24時間365日体制で監視
- 直感的な攻撃のプロセスが確認できるシンプルなGUI
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | SaaS |
| 動作環境・OS | 要お問い合わせ |
| サポート | 要お問い合わせ |
Trend Micro Apex One SaaS
トレンドマイクロの製品である「Trend Micro Apex One」のSaaS版で、エンドポイント向けセキュリティサービスです。
SaaSなのでオンプレミスサーバーにかかる費用・サーバー構築などが不要です。EDRの導入、他社エンドポイントからの乗り換えも容易に行えます。
また、働き方改革にも対応しているので、リモートPCを社内端末と同様に管理が可能です。
Trend Micro Apex One SaaSの比較ポイント
- 働き方改革に対応
- 社外の端末も一元管理ができる
- 導入・運用が容易
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 3,670 円/年 |
| 提供形態 | SaaS、オンプレミス |
| 動作環境・OS | 要お問い合わせ |
| サポート | 要お問い合わせ |
スマートEDR
スマートEDRの内部エンジンには、世界トップクラスのAI型EDRの「SentinelOne」のエンジンが活用されています。
インシデントへの一時対応をAIに任せることで、他社では真似できない対応スピードを実現します。
2021年4月29日に行われたMITRE Engenuity ATT&CK evaluationsで、検知率No.1、検出漏れゼロを記録した唯一の製品です。
運用にかかるコストを最小限に抑えられるだけでなく、高速インシデントレスポンスによる高い安全性を実現可能です。
スマートEDRの比較ポイント
- 世界初の自律型EDR
- 検知率No.1、検知漏れゼロ
- テレワークに最適
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | 要お問い合わせ |
| 提供形態 | クラウド |
| 動作環境・OS | Windows、Mac、Linux |
| サポート | グローバルサポート24時間365日 |
SKYSEA Client View
SKYSEA Client Viewは、情報漏洩対策とIT資産管理に必要な機能を搭載しており、幅広いIT機器、ソフトウェアの安全を支援します。
グラフ表示でPC利用状況も一目で把握でき、視覚的な把握が可能です。また、長期間利用されていないパソコンの洗い出しでも活用できます。
SKYSEA Client View多層防御による情報漏洩対策で、サイバー攻撃のリスクを最小限に抑えることに役立つでしょう。
SKYSEA Client Viewの比較ポイント
- 顧客満足度調査で第1位を獲得
- クライアントPCの稼働時間から利用状況まで一元管理
- グラフ表示でPC利用状況が一目瞭然
製品情報
| 対象規模 | 全ての規模に対応 |
|---|---|
| 価格 | Light版サーバーライセンス:280,000円~ Light版クライアントライセンス:7,400円~ Pro版サーバーライセンス:300,000円~ Pro版クライアントライセンス:15,000円~ |
| 提供形態 | クラウド/オンプレ |
| 動作環境・OS | 要お問い合わせ |
| サポート | 研修会/各種セミナー実施/リモートサポート/ヘルプデスク |
おすすめEDR13製品の比較表
ここでは、前章で紹介したおすすめEDR製品の重要な比較項目である「対象規模」「価格」「提供形態」「動作環境・OS」などを比較表にまとめました。
| Symantec Endpoint Security | SentinelOne | CylanceOPTICS | Cisco Secure Endpoint | Apex One Endpoint Sensor | ESET Enterprise Inspector | Cybereason EDR | Microsoft Defender for Endpoint | McAfee MVISION | CrowdStrike Falcon Enterprise | Trend Micro Apex One SaaS | スマートEDR | SKYSEA Client View | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 対象規模 | 全ての規模 | 小規模なIT企業からフォーチュン10のエンタープライズまで全ての規模 | 全ての規模 | 全ての規模に対応 | 全ての規模に対応 | 全ての規模に対応 | 全ての規模に対応 | 中小企業、大企業 | 全ての規模に対応 | 全ての規模に対応 | 全ての規模に対応 | 全ての規模に対応 | 全ての規模に対応 |
| 価格 | 5~25ライセンス:月 330 円 / ライセンス 26~50ライセンス:月 300 円 / ライセンス 51~100ライセンス:月 250 円 |
5,000円 ~ 12,000円 ※初期費用0円 サーバー構築費用等はかかりません。 |
月額150円 年額1800円 |
要お問い合わせ | 11,780円〜 | 要お問い合わせ | 要お問い合わせ | 【単体プラン価格】 380円〜(年契約月払の場合) |
要お問い合わせ | 要お問い合わせ | 3,670 円/年 | 要お問い合わせ | Light版サーバーライセンス:280,000円~ Light版クライアントライセンス:7,400円~ Pro版サーバーライセンス:300,000円~ Pro版クライアントライセンス:15,000円~ |
| 提供形態 | クラウド/オンプレミス/ハイブリッド | クラウド / SaaS | クラウド | SaaS / クラウド / ASP | オンプレ/SaaS | クラウド/オンプレ | クラウド | クラウド | クラウド | SaaS | SaaS、オンプレミス | クラウド | クラウド/オンプレ |
| 動作環境・OS | Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 ・Windows Server 2022 |
Windows OS / macOS/ Linux/ Android/ iOS | Windows/macOS | 要お問い合わせ | Windows/macOS | 要お問い合わせ | Windows, Mac OS, Linux | Windows、macOS、Linux | Windows/その他は要お問い合わせ | 要お問い合わせ | 要お問い合わせ | Windows、Mac、Linux | 要お問い合わせ |
| AV機能 | 〇 | 〇 | 〇 | 〇 | 〇 | ✕ | 〇 | 〇 | 〇 | 〇 | ✕ | 〇 | 〇 |
| IT資産管理機能 | ✕ | ✕ | ✕ | ✕ | 〇 | ✕ | ✕ | ✕ | ✕ | 〇 | 〇 | ✕ | 〇 |
| 脆弱性管理機能 | 〇 | 〇 | 〇 | 〇 | ✕ | ✕ | ✕ | 〇 | 〇 | 〇 | ✕ | 〇 | 〇 |
| サポート | サポートサイト、電話 | サポート窓口 (電話・メール・チャット) 平日9:00-18:00 SOCサポート 24時間/365日 |
24時間365日WEBで受付 | 要お問い合わせ | 要お問い合わせ | 要お問い合わせ | 要お問い合わせ | 要お問い合わせ | コールセンター | 要お問い合わせ | 要お問い合わせ | グローバルサポート24時間365日 | 研修会/各種セミナー実施/リモートサポート/ヘルプデスク |
| メーカー名 | Broadcom Inc. | 株式会社TTM | 日立ソリューションズ | シスコシステムズ合同会社 | トレンドマイクロ株式会社 | ESET | サイバーリーズン合同会社 | Microsoft | 大塚商会 | Crowd Strike | トレンドマイクロ | TTM | Sky株式会社 |
EDRの比較項目・正しい選び方とは?
EDRを選定する際は、以下の比較項目を見ながら選ぶとよいです。
- まずは基本機能に不足なく対応しているかチェック
- クラウドかオンプレか
- ログの収集対象・期間・保存場所は?
- アンチウイルス機能の有無と種類
- IT資産管理機能があるかどうか
- 脆弱性管理機能があるかどうか
- 自社の規模や環境に合った製品かどうか
- 企業のサポート力や親切度
- 他のツールとの連携は?
一つずつ見ていきましょう。
①まずは基本機能に不足なく対応しているかチェック
まずはEDRの基本機能とされる、以下の機能に対応しているかどうか確認しましょう。
- インシデントの検知
EDRに求められる最も基本的な要素です。サイバー攻撃や高度標的型攻撃の挙動を検知します。 - 封じ込め
不審な挙動を行ったプログラムの強制終了や、コマンドの停止、ネットワークの即時遮断を実施する機能です - 調査
セキュリティインシデントの封じ込めは一時的な措置に過ぎないため、調査が必要です。ログに記録された挙動を追跡し、侵入経路、どのような攻撃を受けたのか、被害状況など徹底的に可視化していきます。 - 復旧
業務への影響を最小化するために、復旧を短時間で実施します。具体的には、危険なファイルやプログラムの削除、レジストリの設定の復旧、ネットワークの復旧などです。
製品間での機能格差はなくなりつつありますが、十分な機能を提供できていないEDR製品もあるため、注意しましょう。
②クラウドかオンプレか
EDR製品を選ぶうえで、クラウドかオンプレかも重要な比較項目です。クラウド型EDRとオンプレ型EDRの特徴やメリット・デメリットを以下で解説します。
クラウド型EDRの特徴・メリット・デメリット
クラウド型EDRは、インターネット上でサービス提供されているソフトウェアやアプリケーションのことです。
インターネット接続環境があれば、エンドポイントが社内ネットワークへの接続がなくても管理ができます。
社外でも、業務端末を常に管理下におけるのがメリットです。そのほかにも、
- 社内インフラの構築が不要
- 導入が容易
- 初期費用を抑えられる
- メンテナンスにかかる運用コストが少ない
などがあります。一方で、完全オフライン端末への監視には対応していないのがデメリットといえるでしょう。
現在では、クラウドの提供がIT業界での主流な選択肢になっています。
オンプレ型EDRの特徴・メリット・デメリット
オンプレ型EDEは従来のように、社内インフラ上に構築するシステムのことです。
オンプレ型には、ログを社内で管理できるというメリットがあります。クラウド型では実現できない、完全オフライン端末への監視が可能な点もメリットです。
導入・利用における負担が、クラウド型よりも大きいのがデメリットといえるでしょう。
③ログの収集対象・期間・保存場所は?
EDRは製品によって、収集対象・期間・保存場所が異なるので、重要な比較項目の一つです。
EDR製品を導入する最大の目的は、防御できなかったサイバー攻撃に迅速に対処して被害を最小限に抑えることにあります。
EDRの収集対象と期間は、「検知」と「調査」に影響を与えます。収集対象が限定的なものであれば、検知が十分にできない可能性もあるでしょう。
全てのアクティビティを漏れなく、十分な期間保存できることが重要です。
ログの保存場所は、「端末上」と「管理サーバー上」に分かれます。
ログが端末上にあれば、常に最新のログでの解析や調査が可能です。
管理サーバー上にログがある場合は、オフライン端末でも最後にアップロードされたログの調査を行え、端末への負荷も小さくなります。
ログを管理サーバー上に保存するクラウド型EDRには注意が必要です。管理クラウドが海外での提供の可能性があるため、事前に確認しておきましょう。
④アンチウイルス機能の有無と種類
アンチウイルス機能には、従来のパターンマッチング技術を用いたアンチウイルス(AV)と、機械学習を用いた新たなタイプのアンチウイルス(NGAV)があります。
EDR製品を選ぶ際には、そもそも防御機能(AV機能)があるかどうか、防御機能の種類もチェックするとよいでしょう。
以下では、従来型AVとNGAVの特徴を解説します。
従来型AV(アンチウイルス)の特徴
従来型AVは、コンピュータウイルスからパソコンなどのデバイスから守るためのソフトウェアです。
パターンマッチング技術を中心に用いられています。パターンマッチングとは、マルウェアのパターン情報を蓄積し、マルウェアと同じパターンのファイルを検出する方式です。
検出した不正または疑わしいファイルは、アンチウイルスが自動的に削除または隔離します。
ただし、従来型AVは過去に検出されたマルウェアのみに対応できるのが特徴です。新しいマルウェアや解析されたことがないマルウェアに対しては、検出できません。
NGAV(次世代型アンチウイルス)の特徴
NGAVは、従来のAVでは検知できなかった新しい技術を利用したマルウェアや、未知のマルウェアを検出できる次世代型アンチウイルスです。
NGAVには、以下のような機能が組み込まれています。
- 振る舞い検知:ファイルの不正な挙動や振る舞いを確認して不正かどうかを判定する手法
- AI・機械学習:マルウェアを数値化して予測防御する
- サンドボックス:他の正規のプログラムに影響を及ぼさない領域を提供する機能。ここでは疑わしいプログラムを実行して不正かどうかを判定できる。
- パターンマッチング:従来型アンチウイルスの主要機能でもあるパターンマッチング。既知の脅威を検知する。
上記の機能を用いて、マルウェアと疑わしいものを検知・ブロックを行い、ウイルスから守ります。
⑤IT資産管理機能があるかどうか
EDR製品の中には、IT資産管理機能が搭載されている製品もあります。
IT資産管理機能とは、企業内のIT資産、ハードウェアやソフトウェアをまとめて管理する機能です。
端末の保有や設置状況だけでなく、ソフトウェアも含めて管理しなければなりません。
IT資産についての情報が増えた昨今では、IT資産管理機能が必要です。
IT資産管理機能を搭載しているEDR製品として「SKYSEA Client View」があります。
組織内のIT資産の活用状況を的確に把握することで、運用の最適化やコストダウンなどに活用できるでしょう。
⑥脆弱性管理機能があるかどうか
機能拡張として、エンドポイント内の脆弱性管理機能があります。脆弱性を突く攻撃が増えており、攻撃への予防策としてしっかりと対策することが重要です。
特に、働き方改革によるテレワークでは、脆弱性管理が十分にできていない組織では必要といえるでしょう。
⑦自社の規模や環境に合った製品かどうか
自社の規模や環境に合った製品選びは必須です。複雑化するシステム環境では、さまざまなOSやミドルウェアが含まれた環境を構築している組織も多いでしょう。
まずは現状のシステム環境を整理し、利用しているエンドポイントより多くに対応したEDR製品選びが大切です。漏れなく監視が行え、強固なセキュリティ対策につながります。
⑧企業のサポート力や親切度
EDRの運用は多くの企業で新たな試みとなることも多いでしょう。組織内に専門スキルを要する人材がいるとは限りません。
そのため、万が一の時に備えて、どのようなサポートが提供されているのかを確認するのが大切です。
必要に応じてサポートを受けることで、より安心できるセキュリティ対策を講じて攻撃を回避できます。
サポート体制には、24時間対応や日本語でのサポート対応などがあります。これらのサポートに対応していれば、安心して導入・運用ができるでしょう。
⑨他のツールとの連携は?
EDRを導入する際、アンチウイルスやファイアウォールなどの基本的な機能を既に導入しているかと思います。そのうえで、よりセキュリティ対策を強固にするために、EDRを導入するというパターンがほとんどです。
そのため、EDRと他のツールとの連携はセキュリティレベルや運用負荷にも関わる重要な比較ポイントになります。
EDRの基礎知識
EDRは、エンドポイントからログデータを収集し、解析、不審な挙動・サイバー攻撃を検知し、管理者に通知し、遠隔で対処できるセキュリティソリューションです。
巧妙化・高度化するサイバー攻撃に対して、従来のアンチウイルスでは防御できなくなったという背景があります。
EDRはサイバー攻撃を入り口で防ぐだけでなく、攻撃者が侵入した場合を想定して迅速に検知・対応することで、被害を最小限に抑えるのが目的です。
EPPとの違いは?
EDRと似た言葉にEPP(Endpoint Protection Platform)があります。EPPはアンチウイルスソフトのことで、PCなどに侵入するマルウェアを検出して守るためのソリューションです。
EDRもEPPも「サイバー攻撃対策」のソリューションです。しかし、目的が異なります。
「マルウェア感染後の被害を最小限にするための対策がEDR」で、「感染前の対策がEPP」と覚えておくとよいでしょう。
EDRの機能
EDRには、主に以下の機能があります。
- 監視機能
エンドポイント端末に侵入検知センサーやソフトウェアを導入し、ファイル操作ログ、レジストリの変更ログなど各種プロセスログを常に監視する機能です。 - 分析機能
脅威を解析し、脅威が発生したエンドポイント端末、侵入経路、被害の状況などを特定します。情報を見やすくしたデータで管理者に通知する機能です。 - インシデント対応機能
脅威を検知してから問題が解決されるまでネットワークやアプリケーションの遮断、脅威に晒されているプロセスを自動停止します。 - 予防機能
エンドポイント端末にインストールされているアプリケーションを自動的に最新版に更新し、脆弱性をカバーする機能です。
EDRのメリット(導入効果)・デメリット
EDRを導入することで、どのような効果を得られるのか、気になる方も多いのではないでしょうか。ここでは、EDRのメリットとデメリットを解説します。
EDRの導入効果
EDRを導入することで、以下のような効果を得られます。
端末の挙動を常に監視し、不審な挙動は管理者へ通知
EDRの導入で端末の挙動を常に監視でき、不審な動きがあれば端末を隔離することが可能です。
また、不審な挙動を検知すると、セキュリティ管理者に通知されます。管理者は通知を受けてから迅速に事態の対処が可能です。
サイバー攻撃の被害を最小限に抑えられる
エンドポイント端末に不審な挙動が検知された場合、管理者以外の通信を遮断し、端末を隔離します。端末へのマルウェア侵入・感染を防ぎ、被害を最小限に抑えられるでしょう。
マルウェアに感染した後、迅速に対処できる
EDRは、マルウェアに感染した後のセキュリティとして役立ちます。感染後は端末を隔離し、危険性の高いファイルを削除します。
また、管理者はリモートでも対応可能です。EDRを導入すれば、マルウェア感染後の対応が迅速に行えるでしょう。
マルウェアなどの侵入経路・被害の範囲を特定できる
EDRは常に監視してログを取得しています。不審な挙動を検知した際は、マルウェアの侵入経路や被害の範囲を特定できるのもメリットです。被害の範囲を特定すれば、迅速かつ適切な対処ができるでしょう。
インシデント発生の原因を明確にできる
取得したログからどの経路でどのようなプログラムが実行されたのかを特定します。インシデント発生の原因を明確にでき、封じ込めと無効化までの時間を大幅に短縮することが可能です。
EDRの導入デメリット
EDRの導入には、以下のようなデメリットがあります。そのデメリットが理由で、なかなか導入に踏み切れない場合も多いです。
導入コストがかかる
EDRの導入コストは、エンドポイントの数が多ければ多くなるほど高くなります。
製品によって費用相場は異なりますが、月額料金は数百円程度です。エンドポイント1つにつきかかるので、長期的に見ると大きな負担となるでしょう。
例えば、エンドポイント1つにつき月額300円で、100個あるなら月額30,000円発生します。
また、EDRはウイルス感染後に有効なセキュリティなので、EPPなどと組み合わせる必要があり、その分のコストも考えなければなりません。
運用できる従業員が必要
EDRは優れたセキュリティ対策のシステムですが、使いこなさなければ意味がありません。そのため、EDRの導入には運用できる従業員が必要です。
セキュリティ専任の担当者を確保するのは、一部の企業に限られるため、多くの企業は難しいでしょう。
サポート体制がしっかりしているEDRを選ぶことで、この問題をクリアできます。また、外部の企業に委託する方法もあります。
外部の企業に委託する場合も費用がかかるため、コストアップには注意しましょう。
まとめ
ここまでEDRの基礎知識からおすすめのEDRの紹介までをしてきました。
巧妙化・高度化するサイバー攻撃に対応するために、EDRが注目されています。
EDRはエンドポイントの操作や動きを常に監視し、サイバー攻撃を受けた際の原因を特定して迅速な対処ができるソリューションです。
従来のパターンマッチングで防げなかったウイルスに対応するセキュリティなので、導入をおすすめします。
特にテレワークの環境下では大きな力を発揮するので、導入を検討してみてはいかがでしょうか。
横山 洋介
セカンドラボ株式会社 PR Solution Div.
URL:https://note.com/2ndlabo/n/n33882f74cd71
国立大学を卒業後、新聞記者として4年間勤務。2020年よりセカンドラボ株式会社に入社。医療福祉施設の課題解決プラットフォーム「2ndLabo」にて各種ITツール、レジの導入支援、クリニック開業支援に従事。
2ndLaboのサービスを通じて、これまで1,000件を超えるサービス導入支援・開業支援を担当。得意分野はレジ関連(POSレジ、自動精算機)、ナースコール、レセプト代行。
渡邉 志明
シュワット株式会社|代表取締役
URL:https://dx-bespra.com/concierge-shimei-watanabe
お店の開業サポートサイト「BESPRA(べスプラ)」の運営責任者。同サイトにてITツール(POSレジ、キャッシュレス決済端末、介護ソフト、サイバーセキュリティなど他多数)や業者の選定サポート・導入支援を行っており専門知識や経験が豊富。当サイト(2ndLabo)の編集責任者も歴任。
