EDRとは？被害を受けてから真価を発揮するセキュリティ

　EDR（Endpoint Detection and Response：エンドポイントにおける検知と対応）とは、コンピューターやスマホなどの端末（エンドポイント）を監視し、異常の発生を検知し、対応する情報セキュリティの手法です。マルウェアの感染を防ぎ攻撃そのものを発生させない従来の情報セキュリティと違い、EDRは不正アクセスなどの攻撃を受けてしまった時に真価を発揮します。


　このほかにも従来のウイルス対策ソフトにも含まれるマルウェアの検知や不正アクセスの防止などもEDRの機能に含まれることがあり、従来型のウイルス対策ソフトとEDR製品の境界は曖昧なものになりつつあります。しかし、EDRはあくまで「攻撃を受けることが前提」の技術です。防ぐことが理想ですが、それがメインではありません。

　自宅のドアや窓に鍵をかけるのがアンチウイルスによる従来のセキュリティで、自宅の中に監視カメラを設置するのがEDR、と考えると分かりやすいでしょう。

　EDRは監視カメラに怪しい人物が映れば通報し、非常用のシャッターを下ろし、侵入経路や犯人の行動を逐次警察に伝え、問題が解決するまで情報収集と対応を行います。うまくいけば、泥棒は何もせずに逃げていくでしょう。

　もし泥棒に何かを盗まれたとしても、どうして犯人に侵入されたのか、犯人は何をしようとしたのか、犯人に何を盗まれたのか、などの情報が手に入るため、事後対応が格段にスムーズになります。侵入経路が分かれば次に侵入されることを防げますし、ターゲットが分かれば今後はその情報をより厳重に守ることもできるでしょう。

　また情報漏えいの場合は「何が盗まれたか」を把握するのが非常に重要です。情報は盗まれても消えませんし、ハッカーは侵入の痕跡を消していきます。そのため、侵入されたかどうか、侵入されたとして何を盗まれたのかが分からない、ということも珍しくありません。盗まれた情報がIDなのか、パスワードなのか、電話番号なのか、メールアドレスなのか。それが分からなければ、対策として「パスワードを変えれば良いのか」「不審な電話に気をつけるのか」「メールに気をつけるのか」を対象となるユーザーに伝えることもできません。

　そして何を盗まれたか分からない場合、企業は最悪の場合、「被害は確認されていない」というアナウンスをするハメになります。つまり、実際にはパスワードが盗まれているのに盗まれていないかのような発表をすることになるのです。

　これによりユーザーは安心してパスワードを変えることを怠るかもしれません。その後、盗まれたパスワードによって多数のユーザーが直接的な被害に遭えば、企業は多額の損害賠償請求を受けることになるでしょう。仮にそれを避けるためにすべてのユーザーにパスワードを変更するように促せば、本当はごく一部のユーザーのパスワードしか盗まれていなかったとしても、大規模なユーザー離れを引き起こすかもしれません。

　EDRを使っていればこうした状況を防げるのです。

【次ページ】そもそもなぜセキュリティソフトで防ぎきれないのか、EDRの市場規模と動向は？