近年、セキュリティ対策の用語として聞くようになったedr。名前はご存じの方も多いのではないでしょうか。今回の記事では、いま注目されているedrについて、仕組みや機能、失敗しない選び方や注意点などを解説するとともに、おすすめのセキュリティ製品も紹介します。自社のセキュリティ強化にお役立てください。
目次
(1) EDR 개요 및 메커니즘
EDR이란 무엇입니까?
edr"엔드 포인트 감지 및エンドポイント(※1)において常に監視を行うセキュリティ対策のことです。すでに侵入してしまった脅威を検知し、不審な挙動をしていれば管理者に速やかに知らせる仕組みになっています。
「事後対策」という考え方
従来のセキュリティ対策は「事前対策」が主流でした。これは、ファイアウォール(※2)、アンチウイルス(※3)などのソフトやツールを使うことでマルウェアの侵入を防ぐというソリューションです。 近年はテクノロジーの進化によってサイバー攻撃が巧妙化・複雑化しており、標的型攻撃や暗号化ファイルなど、攻撃者はエンドポイントのさまざまな脆弱性を突いてきます。そのため、これまでの方法だけでは完全には防ぎきれなくなっているのです。 そこで「事後対策」としてedrが注目されています。edrは侵入されてしまうことを前提とし、侵入された際に検知を行い、感染したパソコンを隔離するなど適切な対応をとることで被害の拡大を阻止するソリューションです。 これからのセキュリティ対策は「100%事前にシャットアウトする」のではなく、マルウェアがedrをすり抜けるもしもの事態を想定したうえで「侵入された後にどうするか」を視野に入れて考える必要があると言えます。
※1 エンドポイント:英語で「終点」などの意。パソコンやサーバなどインターネットに接続された端末や機器のこと。
※2 ファイアウォール:もともとは「防火壁」の意。社内ネットワークと外部ネットワークの間に立つことで不正アクセスから会社を守る機能。
※3 アンチウイルス:コンピュータウイルスの侵入や攻撃からシステムを守る機能。
(2) EDR의 주요 특징
4つのステップで脅威に対応
では、具体的なedrの機能について見ていきましょう。edrの基本的な機能は以下の4つです。この流れによってエンドポイントに侵入したマルウェアなどの脅威に対応することができます。
監視
エンドポイントに専用のアプリケーションを導入し、操作など各種ログをリアルタイムで監視します。
検知
ログの監視によりマルウェアなどの不審な挙動を検知し、端末の特定や侵入経路、被害状況などを特定してセキュリティ管理者に通知します。
隔離
検知した端末を自動的にネットワークから隔離し、通信の制限や他の端末への被害拡散を防止します。
修復
不審なファイルの削除やデータベースの修復、アプリケーションのバージョンアップやパッチ(※4)の更新を実施します。 従来の感染や侵入を防止する対策に加え、これらの機能によって感染や侵入後の対策を行うことで迅速な対応が可能となり、被害を最小限に食い止めることができるのです。 また、edrにはリモート対処機能(ファイル削除、レジストリ修復など)があるため現地での作業が不要となり、より迅速に初動対応を行うことができます。
※4 パッチ:もともとは「つぎあて」の意。コンピュータ用語では修正や機能の調整に用いられる配布プログラムのこと。(3) EDR이 관심을 끌고있는 이유
巧妙化・複雑化するサイバー攻撃
edrはなぜ注目されるようになったのでしょうか。edrが注目されるようになった最大の要因は、サイバー攻撃の巧妙化・複雑化にあります。最近よく耳にするマルウェアを例に見ていきましょう。
Emotet
「Emotet」はメールを主な感染経路として侵入するマルウェアです。脅威が広まった後にいったんは収束するものの、再び活動が活発になるということを繰り返しています。
ランサムウェア
IPA (독립 행정 기관)ランサムウェアです。巧妙に攻撃を仕掛けてくるマルウェア38762_39549
働き方の変化によりエンドポイントセキュリティが重要視
edrが注目されている背景には、働き方の変化もあります。スマートフォンやタブレットなどの普及、さらにコロナ禍や働き方改革によるテレワークの浸透など、著しい環境変化によってエンドポイントが多様化しています。 従業員が自分のスマートフォンやパソコンを使って在宅で仕事をすることも増え、そこから脅威が侵入するケースも増えてきました。このためエンドポイントセキュリティがより重要視されるようになったのです。
「ゼロトラスト」という考えも浸透
サイバー攻撃がますます巧妙化・複雑化する中で、近年は「ゼロトラスト」という考えも広まってきています。これは「何も信用しない」ことを前提にセキュリティ対策を講じる考え方です。 テレワークの普及や、クラウドサービス(※5)の利用増加は、会社の「内」や「外」といった境界を曖昧にしています。そのため、誰(ユーザー)も、どこ(ネットワーク)も、何(デバイス)も、信用しない。そうした認識のもとですべての安全性を検証するセキュリティ対策を講じなければならないというわけです。
※5 クラウドサービス: 클라우드는 영어로 "클라우드"를 의미합니다 인터넷 환경이 제자리, 시간 또는 장치에있는 한 파일 업데이트 및 다운로드와 같은 어디서나 사용할 수있는 서비스(4) 실패없이 EDR을 선택하는 방법과 사용할 때주의해야 할 사항
チェックしておきたい5つのポイント
ここからはedrを選ぶときのポイントを見ていきましょう。edrが可能なツールにはさまざまなものがあります。導入に際して失敗しないために、以下のようなことをチェックしてみてください。
最新の脅威に対応できるか
サイバー攻撃は日々巧妙化・複雑化しています。未知のマルウェアや最新の脅威を検知できるかを事前に確認しておきましょう。
精度の高い分析が可能か
不審な動きを検知するためには、精度の高い分析が必要です。小さな異常を早期発見することで被害を最小限に抑えることができます。
誤検知が少ないか
日頃使用しているアプリケーションやファイルに対してもアラートが出てしまうことを「誤検知」と言います。 誤検知が多いと業務効率の低下にもつながるので、誤検知が少ないものを選びましょう。
調査機能が備わっているか
マルウェアに感染した端末の特定だけでなく、感染経路や影響がおよぶ範囲などを調査し、原因の究明ができる機能を備えたものを選びましょう。
事前対策のセキュリティツールと連携できるか
edrはあくまで事後対策なので、相乗効果が期待できるツールと組み合わせが可能かどうかを確認しましょう。連携して複合的な対策を行うことで、より対策の精度がアップします。
導入後の運用についても注意が必要
edrはただ導入すればよいというわけではなく、運用体制の構築も大事なポイントです。管理者は通知を受けた脅威に対して適切な対応を行う必要があるため、専門知識が求められます。運用に対してベンダーからのサポートが受けられるか、アウトソーシングが可能かといったことも、事前に検討や確認をしておくことをおすすめします。
(5) 권장 보안 제품
UTM과 함께 다중 대책
edrは事前対策のセキュリティツールとあわせて実施することで、より対策の精度がアップします。そこでおすすめなのがUTMです。 UTM"통일 위협입니다ファイアウォールやアンチウイルス、웹 필터링(※6)などの機能がオールインワンで搭載されているため、1台で多層防御が可能です。 通常アプライアンス(専用機器)として提供されるためインストールの必要がなく、導入もスムーズです。
Sakusa UTM "SS7000 ⅲ"도 edr에 연결될 수 있습니다
より具体的なUTMの特性について、edrとも連携が可能なサクサUTM"SS7000 III"을 예로 들어 보겠습니다
社内外のセキュリティリスクに対応
不正アクセス、サイバー攻撃など外部の脅威から社内ネットワークを守るだけでなく、内部機器からのウイルス拡散や情報漏洩などのリスクにも備えることができます。
最新のセキュアなネットワーク環境を実現
ウイルス定義ファイル(パターンファイル)を定期的に更新することで、最新のセキュアなネットワーク環境を保ちます。またセキュリティ状況の「見える化」により、ブロックした脅威も一目瞭然です。
監視・保守・サポートも充実
導入後のさまざまなサポートも充実しています。リモート保守サポート、パソコンの感染時の無料ウイルス駆除サービス、さらにもしもの場合に備えてサイバー保険(※7)も標準で付いています。
VPN 건설 가능
管理サーバ上で接続したい拠点を選択するだけで、簡単に拠点間VPN 연결(※ 8)가 가능합니다 선택적으로 원격 액세스 VPN을 구축하여 이동 중 또는 집에서 회사 네트워크에 액세스 할 수 있습니다
感染したパソコンを隔離
edrと連携して社内ネットワークで不正な通信をしているパソコンを検知し、ネットワークから隔離します。万が一外出先で端末がウイルスに感染しても、感染拡大を防止することができます。
※6 웹 필터링: 부적절한 웹 사이트보기 방지アクセス制御機能。 ※7 サイバー保険:サイバー事故によって生じた損害賠償責任、事故対応にかかる費用、喪失した利益などを補償する保険のこと。 ※8 VPN 연결: VPN은 "가상 개인"입니다(6) EDR 관련 Q & A
間違いやすい専門用語との違い
最後に、edr에 대한 질문에 답할 것입니다 Q & A 형식으로
q EPP와 EDR의 차이점은 무엇입니까?
AEPP는 "엔드 포인트 보호 플랫폼"을 나타냅니다 edrはエンドポイント端末がマルウェア에 감염된 가정에 근거한 "포스트 팩토리 측정"이지만, EPP는エンドポイント端末を感染から守る「事前対策」であるといえます。EPP의 기본 기능은 다음과 같습니다マルウェアのシグネチャを使用してパターンマッチングを行い、既知の脅威を検知することです。epp andedrの両方を適切に導入・実施することによって、連携による統合的な分析が可能となります。 その結果、サイバー攻撃や情報漏洩から会社を守り、業績や信頼性の向上も図ることができます。
q 바이러스 백신과 NGAV의 차이점은 무엇입니까?
aマルウェア와 같은 침입으로부터 보호합니다 NGAV는 "다음에 있습니다マルウェア特有の動作を手がかりに検知を行います。바이러스 백신은 데이터베이스에있는 것을 단서로 사용하여 바이러스를 감지하고 NGAV는マルウェアの「挙動」に対して検知し、ブロックする仕組みになっています。 代表的な機能として機械学習や振る舞い検知などがあり、疑わしい振る舞いをしているものについては未知のものであっても検出するという点が異なります。
Q XDR과 MDR과 EDR의 차이점은 무엇입니까?
a 첫째, XDR (확장 검출 및エンドポイント、サーバー、クラウドなどシステム全体を対象としたマルウェアなどの脅威を自動で検出・分析して対処するプラットフォームです。 MDR(관리 된 탐지 및edrをはじめとする各種のセキュリティソリューションを導入する際や不審を検知した際、それらの運用を外部のセキュリティエンジニアなどに委託できるというサービスです。 ちなみにMDR및 Soc (보안 운영)MDR아웃소싱, SOC는 기본적으로 기업 내에서 조직 된 전문 보안 조직입니다
(7) 요약
今回は、いま注目のedrとは何か、その機能や失敗しない選び方などを紹介しました。セキュリティ対策は不正アクセスやマルウェアの侵入を防ぐ「事前対策」だけでなく、edrによる高度なエンドポイントセキュリティ、つまり「事後対策」によって、インシデントへの効果的な対処と修復(インシデントレスポンス)が重要なことがご理解いただけたのではないでしょうか。 もちろん事後対策は「事前対策ありき」でこそ意味があるものです。ぜひ、UTMと併用することで、自社のネットワークセキュリティを強化していただければと思います。 サクサでは、監視・保守・サポートなど導入後のアフターケアも充実しているUTMをはじめ、中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。 また、UTMの基本機能から導入メリット・選定ポイントなどを詳しく解説したお役立ち資料や、サクサの最新モデルUTM우리는 또한 5 분 안에 "SS7000 III"에 대해 자세히 알아볼 수있는 자료를 제공하므로 자유롭게 사용하십시오
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
