EDR (Endpoint Detection and Response)

EDRは、リアルタイムの分析とAI駆動型の自動化を使用して、アンチウィルス・ソフトウェアや他の従来型のエンドポイント・セキュリティー・テクノロジーを通り抜けてしまうサイバー攻撃から組織を保護します。

コンピューターで作業している人々を描いた等角図
EDRとは

エンドポイントでの検知と対応、またはEDRは、ウイルス対策ソフトウェアや他の従来のエンドポイント・セキュリティー・ツールを通り抜けてしまうサイバー攻撃から、組織のエンド・ユーザー、エンドポイント・デバイス、IT資産を自動的に保護するよう設計されたソフトウェアです。  

EDRは、ネットワーク上のすべてのエンドポイント(デスクトップ、ノートPC、サーバー、モバイル・デバイス、IoT(モノのインターネット)デバイスなど)からデータを継続的に収集します。 このデータをリアルタイムで分析して、既知のサイバー脅威または疑わしいサイバー脅威の証拠を探し、自動で応答し、特定した脅威による被害を防止する、または最小限に抑えることができます。


組織がEDRを使用する理由

2013年にGartner社によって初めて認知されたEDRは、今日、幅広い企業で導入されていますが、これには十分な理由があります。  

調査によると、成功したサイバー攻撃の90%および成功したデータ侵害の70%は、エンドポイント・デバイスで発生しています。 ウイルス対策、マルウェア対策、ファイアウォール、その他の従来のエンドポイント・セキュリティー・ソリューションは時間の経過とともに進化してきましたが、それでもエンドポイントに対する既知のファイルベースまたは署名ベースの 脅威の検出に限定されています。 たとえば、被害者をだまして機密データを漏えいさせたり、悪意のあるコードを含む偽のWebサイトにアクセスさせるフィッシング・メッセージなどのソーシャル・エンジニアリング攻撃を阻止する効果はかなり低くなります。 (フィッシングはランサムウェアを配信する最も一般的な方法です。) また、ファイルや署名のスキャンを完全に回避するために、コンピュータのメモリでのみ動作する「ファイルレス」サイバー攻撃の増加に対しては無力です。

最も重要な、従来のエンドポイント・セキュリティー  ・ツールは、それらをすり抜けてくる高度な脅威を検出することも中和することもできません。 このため、こうした脅威が数か月間ネットワークに潜んでローミングし、データを収集して脆弱性を特定し、ランサムウェア攻撃、ゼロデイ・エクスプロイト、またはその他の大規模なサイバー攻撃を始める準備を行います。

EDRは、従来のエンドポイント・セキュリティソー・リューションでは対処できできなかったものに対応します。 EDRの脅威検出分析と自動応答機能は、多くの場合、人間の介入なしに、深刻な損害を与える前に、ネットワークの境界に侵入する潜在的な脅威を特定して封じ込めることができます。 EDRはまた、セキュリティー・チームが、疑わしい脅威や新たな脅威を独自に発見、調査、防止するために使用できるツールを提供します。


EDRの仕組み

ベンダーによって違いはありますが、EDRソリューションは通常、継続的なエンドポイント・データ収集、リアルタイムの分析と脅威検出、脅威への自動応答、脅威の分離と修復、脅威ハンティングのサポートという5つのコア機能を組み合わせています。

継続的なエンドポイント・データ収集

EDRは、ネットワーク上のすべてのエンドポイント・デバイスから、データ(プロセス、パフォーマンス、構成の変更、ネットワーク接続、ファイルとデータのダウンロードまたは転送、エンドユーザーまたはデバイスの動作に関するデータ)を継続的に収集します。 データは中央データベースまたはデータレイクに保存され、通常はクラウドでホストされます。 

ほとんどのEDRセキュリティー・ソリューションは、すべてのエンドポイント・デバイスに軽量のデータ収集ツールまたはエージェントをインストールすることによってこのデータを収集します。中にはそれとは異なり、エンドポイント・オペレーティング・システムの機能に依存するものもあります。

リアルタイム分析と脅威検出

EDRは、高度な分析と機械学習アルゴリズムを使用して、既知の脅威や疑わしいアクティビティが展開されたときに、その痕跡を示すパターンについてリアルタイムで識別します。 

一般に、EDRは2種類のインディケーターを探します。侵入のインディケーター(IOC)は、潜在的な攻撃または侵害と一致するアクションまたはイベントです。攻撃のインディケーター(IOA)は、既知のサイバー脅威またはサイバー犯罪者に関連するアクションまたはイベントです。  

これらのインディケーターを特定するために、EDRは、自身のエンドポイント・データをリアルタイムで脅威インテリジェンス・サービスからのデータと関連付けます。脅威インテリジェンス・サービスは、サイバー脅威で使用されている戦術、悪用されているエンドポイントまたはITインフラストラクチャーの脆弱性など、新しいサイバー脅威に関して継続的に更新される情報を提供します。 脅威インテリジェンス・サービスは、プロプラエタリー(EDRプロバイダーによって運用)、サードパーティ、またはコミュニティー・ベースにすることができます。 さらに、多くのEDRソリューションは、データをMitre ATT&CKにマッピングします。これは、ハッカーのサイバー脅威戦術と技術に関して自由にアクセスできる、米国政府が資金提供しているグローバルな知識ベースです。

EDR分析とアルゴリズムは独自の調査を行うこともでき、リアルタイム・データを履歴データおよび確立されたベースラインと比較して、疑わしいアクティビティ、異常なエンドユーザー・アクティビティー、およびサイバーセキュリティーのインシデントや脅威を示す可能性のあるものを特定します。 また、「シグナル」または正当な脅威を、誤検知の「ノイズ」から分離できるため、セキュリティー・アナリストは重要なインシデントに集中できます。

多くの企業は、EDRをSIEM(セキュリティ情報およびイベント管理)ソリューションと統合しています。これは、エンドポイントだけでなく、アプリケーション、データベース、Webブラウザー、ネットワーク・ハードウェアなどのITインフラストラクチャーのすべてのレイヤーにわたってセキュリティー関連するものを収集します。 SIEMデータは、脅威を特定し、優先順位付けし、調査し、修復するための追加のコンテキストを使用して、EDR分析を強化できます。

EDRは、重要なデータと分析結果を、ソリューションのユーザーインターフェイス(UI)としても機能する中央管理コンソールに集約します。 セキュリティー・チームのメンバーは、コンソールから、企業全体のすべてのエンドポイントとエンドポイントのセキュリティー問題を完全に把握し、すべてのエンドポイント関わる調査、脅威への対応、および修復を開始します。

脅威への自動応答

自動化は、「応答」(実際には迅速な応答)をEDRに取り込むものです。 セキュリティー・チームによって設定された事前に定義された(または機械学習アルゴリズムによって時間の経過とともに「学習」された)ルールに基づいて、EDRソリューションは自動的に

  • 特定の脅威や疑わしいアクティビティーについてセキュリティー・アナリストにアラートを発動します
  • 重大度に応じてアラートをトリアージまたは優先順位付けします
  • ネットワーク上のインシデントまたは脅威のすべてのストップを、その根本原因までさかのぼって追跡する「トラック・バック」レポートを生成します
  • エンドポイント・デバイスを切断するか、エンドユーザーをネットワークからログオフします
  • システムまたはエンドポイント・プロセスを停止します
  • エンドポイントが悪意のあるまたは疑わしいファイルあるいは、電子メールの添付ファイルを実行(爆発)するのを防ぎます
  • ウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアを動作させて、ネットワーク上の他のエンドポイントをスキャンして同じ脅威を探します

EDRは、脅威の調査と修復アクティビティーを自動化できます(以下を参照)。 また、SOAR(セキュリティー・オーケストレーション、自動化、応答)システムと統合して、他のセキュリティー・ツールを含むセキュリティー応答プレイブック(インシデント応答シーケンス)を自動化できます。

このすべての自動化により、セキュリティー・チームはインシデントや脅威に迅速に対応し、ネットワークへの被害を最小限に抑えることができます。 また、セキュリティー・チームが近くにいるスタッフとできる限り効率的に作業するのに役立ちます。

調査と修復

脅威が特定されると、EDRは、セキュリティー・アナリストが脅威をさらに調査するために使用できる機能を提供します。 たとえば、フォレンジック分析は、セキュリティー・アナリストが脅威の根本原因を特定し、影響を受けたさまざまなファイルを特定し、脆弱性または攻撃者が悪用した脆弱性を特定して、ネットワークに侵入して移動したり、認証資格情報にアクセスしたり、その他の悪意のあるアクティビティを実行したりするのに役立ちます。

この情報を利用して、アナリストは修復ツールを使用して脅威を排除できます。 修復には以下が含まれる場合があります。

  • 悪意のあるファイルを破壊し、エンドポイントから一掃します
  • 破損した構成、レジストリー設定、データ、およびアプリケーション・ファイルを復元します
  • 脆弱性を排除するための更新またはパッチを適用します
  • 再発を防ぐための検出ルールを更新します

脅威ハンティングのサポート

脅威ハンティング(サイバー脅威ハンティングとも呼ばれます)は、セキュリティー・アナリストがネットワークを検索して、未知の脅威、または組織の自動サイバーセキュリティー・ツールによってまだ検出されていない、あるいは修正されていない既知の脅威を探すプロアクティブなセキュリティー演習です。 高度な脅威は、検出されるまでの間に数か月間潜んでいる可能性があり、大規模な侵害に備えてシステム情報とユーザー資格情報を収集しておくことを忘れないでください。 効果的でタイムリーな脅威ハンティングにより、これらの脅威の検出と修正にかかる時間を短縮し、攻撃からの被害を制限または防止できます。

脅威ハンターはさまざまな戦術と手法を使用しますが、そのほとんどは、EDRが脅威の検出、応答、および修復に使用したのと同じデータソース、分析、および自動化機能に依存しています。 たとえば、脅威ハンティング・アナリストは、特定のファイル、構成変更、またはフォレンジック分析に基づくその他の成果物、または特定の攻撃者の手法を記載しているMITRE ATT&CKデータを検索したい場合があります。

脅威ハンティングをサポートするために、EDRは、UI主導またはプログラムによる手段を介してセキュリティー・アナリストがこれらの機能を利用できるようにし、アドホック検索データクエリ、脅威インテリジェンスとの相関、およびその他の調査を実行できるようにします。 特に脅威ハンティングを目的としたEDRツールには、シンプルなスクリプト言語(一般的なタスクを自動化するため)から自然言語クエリツールまで、あらゆるものが含まれます。


EDRとEPP

EPP(エンドポイント保護プラットフォーム)は、次世代のウイルス対策(NGAV)およびマルウェア対策ソフトウェアとWeb制御/Webフィルターソフトウェア、ファイアウォール、電子メール・ゲートウェイ、およびその他の従来のエンドポイント・セキュリティー・テクノロジーを組み合わせた統合セキュリティー・プラットフォームです。 

繰り返しになりますが、EPPテクノロジーは、エンドポイントでの既知の脅威、または既知の方法で動作する脅威の防止に主に焦点を当てています。 EDRには、従来のエンドポイント・セキュリティー・テクノロジーを通り抜けてしまう未知の脅威または潜在的な脅威を特定して封じ込める機能があります。 それにもかかわらず、多くのEPPは、高度な脅威検出分析やユーザー行動分析などのEDR機能を含むように進化してきました。  


EDRとXDRおよびMDR

EDRと同様に、XDR(拡張検出および応答)とMDR(管理された検出および応答)は、分析およびAI駆動型のエンタープライズ脅威検出ソリューションです。 これらは、提供する保護の範囲と配信方法がEDRとは異なります。

XDRは、エンドポイントだけでなく、ネットワーク、電子メール、アプリケーション、クラウド・ワークロードなど、組織のハイブリッド・インフラストラクチャー全体にわたるセキュリティー・ツールを統合するため、これらのツールは、サイバー脅威の防止、検出、および応答において相互に運用し調整できます。 EDRと同様に、XDRは、SIEM、SOAR、およびその他のエンタープライズ・サイバーセキュリティー・テクノロジーを統合します。 まだ新たに出現しつつも急速に進化しているテクノロジーであるXDRは、セキュリティー・コントロール・ポイント、テレメトリ、分析、および運用を単一の中央エンタープライズ・システムに統合することにより、圧倒的なセキュリティー・オペレーション・センター(SOC)をはるかに効率的かつ効果的なものにする可能性を秘めています。

MDRは、自社のサイバーセキュリティー運用を通り抜けてしまう脅威から組織を保護するアウトソーシングされたサイバーセキュリティー・サービスです。 MDRプロバイダーは通常、クラウドベースのEDRまたはXDRテクノロジーを使用してリモートで作業する高度なスキルを持つセキュリティー・アナリストのチームによる24時間年中無休で脅威の監視、検出、および修復サービスを提供します。 MDRは、スタッフの知識を超えたセキュリティーの専門知識や、予算を超えたセキュリティー・テクノロジーを必要とする組織にとって魅力的なソリューションになる可能性があります。


関連ソリューション

IBM Security ReaQta

AIを活用した自動化されたエンドポイント・セキュリティーにより、脅威をほぼリアルタイムで検出して修正するのを支援します。


Managed Detection and Response(MDR)サービス

エンドポイント全体の脅威防御を高速化するためのAIを活用したマネージド型の予防、検出、対応サービスです。


エンドポイント・セキュリティー管理サービス

先進のエンドポイント管理機能で、最新のサイバーセキュリティーの脅威からエンド・ユーザーとそのデバイスを保護します。


統合エンドポイント管理(UEM)

UEMソリューションの導入により、オープンクラウドのAIアプローチを採用して、あらゆるデバイスを保護・管理できます。


ネットワークの検出と対応(NDR)ソリューション

Network Detection and Response(NDR)ソリューションは、ネットワーク・アクティビティーをリアルタイムで分析することにより、セキュリティー・チームを支援します。


ID管理とアクセス管理(IAM)

IBM Security Verify IAMソリューションを使用して、すべてのユーザーに適切なレベルのアクセスを提供します。


インシデント対応ソリューション

サイバー攻撃が発生した際に組織として一元的に対処できるように、インシデント対応のオーケストレーションを行います。


ゼロトラスト・ソリューション

すべてのユーザー、すべてのデバイス、すべての接続に対応したセキュリティー・ソリューションをご覧ください。


IBM Security QRadar SIEM

重要なサイバーセキュリティーの脅威を検出、調査、対応するための一元化された可視性とインテリジェントなセキュリティー分析です。