「アンチウイルスを入れているのに、なぜ最近の攻撃は防げないのか」「EDRという言葉をよく聞くけれど、従来のセキュリティ製品と何が違うのか」――そう感じている情シス担当者は少なくありません。背景には、ファイルを残さずメモリ上だけで動く攻撃や、正規ツールを悪用したLiving off the Land型の侵入が一般化し、シグネチャ照合だけでは検知が追いつかなくなった現実があります。
この記事では、EDR(Endpoint Detection and Response)について、従来のアンチウイルス(EPP)との違い・仕組み・主要機能・選び方・導入手順を、現場で使えるレベルで解説します。中小企業の情シスが「明日から動ける」状態を目指して、運用負担と費用感まで踏み込んで整理しました。
EDRとは?(概要・なぜ重要か)
EDR(Endpoint Detection and Response)は、PC・サーバーといったエンドポイント上のプロセス起動・通信・ファイル操作・レジストリ変更などの挙動を継続的に記録し、不審な振る舞いを検知して対応(隔離・調査)まで支援するセキュリティ製品です。
従来のアンチウイルス(EPP: Endpoint Protection Platform)が「既知のマルウェアをパターン照合で防ぐ」ことを主役にしているのに対し、EDRは「侵入されることを前提に、痕跡を残し、素早く封じ込めること」を主役にしています。
・EPP(アンチウイルス): 入口で止める。シグネチャ・ヒューリスティック・機械学習で既知/類似の脅威をブロック
・EDR: 侵入後の挙動を捉える。プロセスの親子関係や通信先まで記録し、未知の攻撃の痕跡を可視化
・関係性: EDRはEPPを置き換えるものではなく、EPPの「すり抜け」を補う層として併用するのが基本
近年は両者を1製品で提供するベンダーが増えており、ライセンス上は「EPP+EDR」のセットで購入することが多くなっています。
なぜ従来のアンチウイルスだけでは足りないのか(敵を知る)
攻撃者の手法は、ここ数年で確実に変化しました。EDRが必要とされる背景を、防御目線で整理します。
・ファイルレス攻撃: 実行ファイルを置かず、PowerShellやWMIといった正規機能だけで完結する。シグネチャ照合では原理的に検知しづらい
・Living off the Land: OS標準のコマンド(net、whoami、certutil等)を悪用する。単体では「正常な操作」にしか見えない
・多段階の侵入: 初期侵入から横展開、認証情報窃取、データ暗号化まで数日~数週間かけて進むため、点ではなく線で観察しないと気づけない
・正規証明書付きマルウェア: サプライチェーン攻撃で署名済みの実行ファイルが配布されると、評価ベースの防御が通用しないケースがある
つまり「マルウェア検体を見つける」だけでは不十分で、「端末の中で何が起きていたか」を時系列で再構築できる仕組みが要るわけです。EDRはこの「ストーリー化」を担います。
EDRの主要機能
製品によって名称は違いますが、EDRが備える機能は概ね次の4つに整理できます。
・テレメトリ収集: プロセス起動・コマンドライン・親プロセス・ファイル操作・通信先・ログオン情報などを継続的に取得
・振る舞い検知: 「PowerShellがOfficeから起動された」「lsass.exeへのアクセスがあった」など、攻撃手口に紐づくパターンで自動検知。MITRE ATT&CKフレームワークにマッピングされる製品が多い
・調査・脅威ハンティング: 検知された事象から、関連プロセス・横展開先の端末を辿って影響範囲を可視化
・レスポンス: 端末のネットワーク隔離、プロセス停止、ファイル削除、リモートシェルでの調査などを管理コンソールから実行
これらが揃うことで「検知→調査→封じ込め→復旧」の初動が、現地に駆けつけずに完結できるようになります。
EDRとEPP・XDR・MDRの違いを整理する
混同しやすい用語を、防御の立ち位置で並べて整理します。
| 用語 | 役割 | カバー範囲 |
|---|---|---|
| EPP(アンチウイルス) | 既知脅威の入口防御 | エンドポイント(防御中心) |
| EDR | 侵入後の検知・調査・対応 | エンドポイント(検知・対応中心) |
| XDR | EDRに加えメール・クラウド・ネットワークも統合監視 | エンドポイント+複数領域 |
| MDR | EDR/XDRの監視・運用をベンダー側のSOCが代行 | サービス(人+プロセス) |
中小企業で「24時間365日のアラート監視まで自社では無理」という場合、ツールとしてEDRを買うのではなく、運用込みのMDRサービスとして契約するほうが現実的なケースが多いです。
EDR導入の具体的な手順
1. 守るべき資産と運用体制を棚卸しする
EDRは「導入したら勝手に守ってくれるツール」ではありません。アラートを受け取り、判断し、対応する人が必要です。導入前に次を整理します。
・守る端末数: Windows/Mac/Linux/サーバーをそれぞれ何台か
・運用時間: 平日日中だけ社内で見るのか、24時間SOC監視が必要か
・対応窓口: インシデント発生時に誰が一次対応するか、エスカレーション先はあるか
2. 製品/サービスを比較する
評価軸は次の通りです。価格だけで決めると運用が破綻しがちなので注意してください。
・検知精度: 第三者評価機関(MITRE Engenuity ATT&CK Evaluations、AV-Comparatives等)の結果を参照する
・対応OS: Linuxサーバー対応の有無、対応ディストリビューションを確認
・運用負担: 誤検知(偽陽性)の量、チューニングのしやすさ、日本語サポートの可否
・MDRオプション: 同じベンダーで運用代行が選べるか、価格はいくらか
・ログ保管期間: インシデント調査に必要な期間(最低90日、できれば180日以上)を満たすか
3. PoC(概念実証)を実施する
本番導入の前に、必ず1カ月程度のPoCを行います。観点は次の3つです。
・本番に近い環境で実運用と同じ業務を流し、誤検知の量を測る
・既知の検証用シナリオ(ペネトレーションテスト会社や、Atomic Red Teamのようなオープンソースの検知テスト)を流し、検知範囲を確認する
・コンソールの操作性、レポートの見やすさ、隔離操作のレスポンスを実際に触って評価する
4. 段階展開と運用設計
全社一斉ではなく、まずは情シス部門→管理部門→全社の順で段階展開します。同時に運用ルールを整えます。
・アラート対応SLA: 重大度別に「何分以内に確認、何時間以内に初動」を決める
・隔離権限: 端末ネットワーク隔離を誰が判断・実行できるか定義
・復旧手順: 隔離後の調査→クリーン化→再接続までの流れを文書化
・ユーザー周知: 「不審な動きを検知した場合、業務中でも端末が隔離される可能性がある」と事前に周知
中小企業でも今日からできること
EDRは決して大企業専用の製品ではありません。月額数百円~千円台/台の中小企業向けプランも各ベンダーから提供されています。予算が限られていても、次の順番で進めれば現実的です。
・まず棚卸し: 既に使っているEPP製品にEDR機能が含まれていないか確認する。追加費用ゼロまたは少額で有効化できる場合がある
・守る範囲を絞る: 全端末ではなく、まず「インターネットに直接接続するサーバー」「役員・経理など機微情報を扱う端末」だけでも導入する
・MDRを優先検討: 自社にSOCを持てないなら、ツール単体購入ではなく月額制のMDRサービスを選ぶ
・EPPとの併用前提で予算を組む: EDR単独でEPPを廃止するのは推奨されない。両方の年額コストで比較する
・サイバーセキュリティ保険との組み合わせ: EDR導入を割引条件にする保険商品もある。見積時に確認する
Linuxサーバーのログ監視やSSHの保護といった土台部分は、姉妹サイトLinuxMaster.JPで詳しく解説しています。EDR導入と合わせて、足回りも整えておくと検知の精度が大きく変わります。
よくある誤解と注意点
【誤解1】EDRがあればアンチウイルスは不要
EDRの主役は「検知と対応」であり、入口の防御はEPPに任せる設計が一般的です。EDR単体運用は推奨されません。最近はEPPとEDRが統合された製品が主流ですが、ライセンス内訳を必ず確認してください。
【誤解2】導入すれば自動でインシデント対応が完結する
EDRは「検知して可視化する」までを担いますが、最終的に「これは攻撃か、誤検知か」を判断するのは人です。アラートを誰も見ない状態では、宝の持ち腐れになります。導入と同時に運用体制(自社SOCまたはMDR)を必ず用意してください。
【注意】プライバシー・労務面の配慮
EDRは端末上のコマンド履歴・通信先・ファイル操作などを記録します。社員のプライバシーに関わる情報を扱うため、就業規則・利用規程に「業務端末のログを取得・分析する」旨を明記し、事前に周知することが望ましいです。詳細は法律の専門家にご確認ください。
【注意】ログ保管期間と調査コスト
標的型攻撃は侵入から発覚まで数カ月かかることがあります。ログ保管期間が短い製品を選ぶと、いざインシデントが起きても遡れません。最低90日、できれば180日以上のテレメトリ保管を要件に入れてください。
本記事のまとめ
EDRは「侵入されることを前提に、素早く気づき、被害を最小化する」ための仕組みです。アンチウイルス(EPP)の代替ではなく、すり抜けを補う層として併用するのが正しい使い方になります。
・EPPは入口防御、EDRは侵入後の検知・調査・対応
・ファイルレス攻撃やLiving off the Land型の脅威には、振る舞い検知が不可欠
・XDR・MDRとの違いを理解し、自社の運用体制に合った形態を選ぶ
・中小企業はMDRサービスから検討するのが現実的
・導入と同時に「アラートを見る人・判断する人・対応する人」を必ず決める
ツール選定そのものより、運用設計が成否を分けます。「導入したら終わり」ではなく、「導入した日が運用のスタート」と捉えて準備してください。
EDR選定や運用設計でお悩みではありませんか?
EDR・MDR・XDRの違いや、中小企業に合った現実的な選び方は、製品ベンダーの資料だけ読んでも判断が難しい領域です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント