「EDR」導入の前に知っておくべきこと：セキュリティ強化塾（2/4 ページ）

どうしても対策が後手に回るサイバー攻撃。脅威の浸入や行動を検知して対策につなげる「EDR」が注目を集めている。

[キーマンズネット]

EDRに注目が集まるが、そもそもEDRって何だ？

　EDRの基本的なポイントをまとめる。提供ベンダーによって指し示すものが異なる場合があるが、基本的には「PCやモバイルデバイスなど『エンドポイント』の挙動を記録し、その内容によって異常を検知し、必要があればネットワークを止めたり、エンドポイントを隔離したりする」ものだ。

　従来のマルウェア対策ソフトは、特定のエンドポイントの中に独立して存在し、検知と判断を行ったが、EDRはシステム全体でエンドポイントの挙動を把握し、問題を検知したら他のエンドポイントに対しても処理を行える点で異なる。

　マルウェア対策ソフトを提供するベンダーも、自社製品にEDRのエージェント機能を組み込み始めた。これはセキュリティベンダーだけの話ではなく、例えばマイクロソフトは、Windows 10 EnterpriseにEDR機能「Windows Defender ATP」を追加してセキュリティ向上を狙う。

　従業員にとっては、従来のマルウェア対策ソフトのようにクライアント内での検査や、パターンファイルのアップデートを行う必要がなくなり、より軽い挙動になるというメリットもある。

　これまでのように悪意のあるファイルが入ってきたタイミングで止めるのではなく、入られてしまった後に不審な挙動をするかどうかをリアルタイムで検知するという方向にシフトしたといえる。