EDRの運用は難しい?少ない負担で効果を発揮するには

公開日:

更新日:

セキュリティ運用
   

近年、企業を狙ったサイバー攻撃はますます深刻化しています。

有効なセキュリティ対策としてEDREndpoint Detection and Response)が普及している一方で、運用が困難とも言われています。

本記事では、EDRの導入により期待できる効果や、運用が難しい理由、そして効果的な運用方法をご紹介します。

目次

EDRとは?導入目的と期待できる効果

EDRの定義

EDRの定義と導入により期待できる効果について説明します。

EDRとは、「Endpoint Detection and Response」(エンドポイントでの検出と対応)の略称であり、サイバーセキュリティ技術の一つです。

PC、サーバー、スマートフォンなどのエンドポイント(端末)に導入することで、不審な挙動をリアルタイムに監視し、サイバー攻撃を検知・分析して迅速に対応するための支援を行います。

EDRの歴史

EDRは社会情勢や脅威の動向に応じて普及、進化してきました。その歴史を振り返ります。

2013年:EDRの誕生

「高度化する脅威を早期に発見および分析し対応するための技術」としてEDRが誕生しました。

2017年:WannaCryの流行

ランサムウェアの一種であるWannaCryが世界中で猛威を振るいました。ウイルスが侵入後に行うファイル暗号化などの活動は、従来型のアンチウイルスソフトで防ぐことが困難でした。

この頃からウイルスに侵入されることを前提とした対策の必要性が強く認識されるようになりました。

2020年:テレワークの急速な普及

新型コロナウイルス感染症(COVID-19)の影響により、多くの組織がテレワークの導入を余儀なくされました。

社外での端末の利用機会が増加したことから、従来の境界型防御の安全神話が崩壊し、個々のエンドポイントにおけるセキュリティ対策の強化が不可欠となりました。

2022年:XDRの普及

エンドポイントに加えて、ネットワークやクラウドなど複数のレイヤからデータを収集、分析するセキュリティ対策としてXDRExtended Detection and Response)が国内で普及しました。

この頃には、一般的なセキュリティ対策として多くの組織がEDRを取り入れています。

EDRの歴史

EDRの歴史

EDRが注目されている背景

EDRがセキュリティ対策として注目されている背景はいくつかありますが、主にサイバー攻撃の高度化と業務環境の変化が挙げられます。

サイバー攻撃の高度化

かつては不特定多数に向けたばらまき型攻撃が一般的でしたが、近年は特定の組織を狙う標的型攻撃や、先に挙げたWannaCryをはじめとするランサムウェア攻撃、標的組織の関連会社や委託先を狙ったサプライチェーン攻撃など巧妙な手口が増加しています。

これらの攻撃は技術的にも新しい手法を用いているため、アンチウイルスソフトのような従来型のセキュリティ対策では検知が困難となっています。

業務環境の変化

働き方改革や新型コロナウイルス感染症きっかけとしたリモートワークの普及やクラウドサービスの利用、そしてスマートフォンやタブレットなど業務端末の多様化から、ゼロトラスト(ネットワーク内外を問わずすべてのユーザ、デバイス、アクセスを信頼しない考え方)の概念が一般的になりました。

ゼロトラストの概念においては、エンドポイントでのセキュリティ強化が必須と考えられています。

EDRの導入により期待できる効果

EDRを導入することで期待できる効果を説明します。

脅威の早期発見、検知率の向上

エンドポイント上の通常とは異なる挙動や、攻撃者が行う偵察活動、横展開の動きなどを早期に捉え、被害が拡大する前に対応することを可能にします。

インシデント対応の迅速化、効率化

攻撃の発生源、影響範囲、攻撃経路などを統合的に可視化し、分析作業を効率化します。また、検知された不審な活動に対して、感染した端末の隔離、悪意のあるプロセスの停止など、迅速な初動対応を支援します。

セキュリティ体制の成熟

継続的な監視と分析により、組織全体のセキュリティ状況を把握し、対策の改善に役立てることができます。また、収集した脅威情報や分析結果を他のセキュリティ対策と連携させることで、より強固な防御体制を構築できます。

EDRの運用が難しいと言われる理由

EDRは導入メリットが大きい反面、「運用が難しい」という声も少なくありません。その背景には、いくつかの要因が考えられます。

複雑な設定が必要

EDRは多機能であるがゆえに設定項目が多岐にわたり、セキュリティ担当者には高度な知識と理解が求められます。

EDRの効果を最大限に引き出すためには、自社の業務環境に合わせた設定が不可欠です。組織の規模、業種、ネットワーク構成、利用するアプリケーションなど、様々な要素を考慮し最適なポリシーを構築する必要があります。

さらに、誤検知への対策も考慮する必要があります。誤検知が頻発すると、セキュリティ担当者の負担が増加するだけでなく、本来対応すべき脅威を見逃しかねません。

端末に負荷がかかる

EDRは、ファイル操作、ネットワーク通信、プロセスの実行など、エンドポイントにおける様々な活動を詳細に監視します。多機能であり大量のデータを扱うため、EDRエージェントは常にCPUやメモリといったリソースを消費し、端末の動作に影響を与える可能性があります。

特に、性能の低い端末の利用時や、同時に複数のアプリケーションを起動しているような状況では、端末の負荷が高くなり動作が遅くなったり、フリーズしたりといった問題が発生することがあります。

アラート対応に専門スキルが必要

EDRが検知するアラートには様々な重要度や緊急度のものがあります。セキュリティ担当者は、多数のアラートの中から、実際に対応が必要なものを迅速に特定し、優先順位をつける必要があります。この優先順位付けにはアラート内容の正確な理解が求められるため、担当者には高度な知識が求められます。

また、アラートが本当に脅威によるものなのか、誤検知ではないのかを見極めることにも高度な知識が必要です。

継続的なリソースの負担

サイバー攻撃は24時間365日発生する可能性があります。脅威を早期に発見し対処するには、リアルタイムでの継続的な監視が不可欠です。

しかし、多くの組織において、自社内で24時間365日の常時監視体制を構築し、かつ維持することは、コストや人材確保の面で現実的ではありません。

効果的なEDR運用を実現する方法

ここまでEDR運用の難しさを挙げましたが、以下のような方法を取ることで、負担を削減しながらEDRの効果を最大限に発揮することができます。

運用負荷の小さい製品を選定する

管理画面の使いやすさやアラートの分かりやすさ、自動化機能など、日々の運用を効率化する機能を強みとした製品も増えてきています。また、快適な運用を支える製品サポートの存在も不可欠です。

組織に合ったチューニングを行う

組織における利用アプリケーションやネットワーク構成を把握し、監視対象や検知ルールを最適化することで、誤検知を減らし、重要なアラートに集中することができます。

過去のインシデントや組織特有の脅威を分析し、カスタムルールを作成することも有効です。運用後もアラート傾向を分析し、定期的に見直すことは、EDRの精度を高め、担当者の負担を軽減します。組織の変化に合わせて設定を柔軟に更新し、常に最適な状態を維持しましょう。

外部に監視や対応を委託する

EDRの常時監視やインシデント対応には専門知識とリソースが必要です。

SOC(Security Operation Center)を外部に委託することは、自社の負担を軽減し、専門家による高度な監視と迅速な対応を可能にします。

24時間365日の監視体制と最新の脅威情報に基づいた対応は、自社だけでは困難なインシデント解決に繋がります。

防御力を向上することによりEDRで対応すべきアラートを最小限に抑える

多層防御によりEDRで対応すべきアラートを最小限に抑え、より効率的かつ効果的な運用を実現しましょう。

そのためには、EDRを最終防衛線と捉え、その前段階での防御力強化に注力することが重要です。EPPEndpoint Protection Platform)で防御を行い、本当に対応が必要な脅威のみEDRで対処することで、より効率的で効果的な運用が期待できます。

導入する製品数が増えると、その分運用負荷は増加するため、EDRと併用する場合はEPPの中でも運用負荷の小さいソリューションを選ぶことが重要です。

EDRとEPPの違い

EDRのみ導入している場合の対応とEDR+EPPの場合の対応

EDRの運用負荷を軽減するEPPソリューション「Morphisec

運用負荷が小さいEPP製品として、Morphisec(モルフィセック)が挙げられます。

Morphisecが攻撃を初期段階で防御し、EDRにおいて調査ならびに対処する対象を減らすことができます。

Morphisecでの保護方法はMoving Target Defense技術というメモリのランダマイズ技術を用いており、既知および未知の攻撃を無効化することで、シグネチャ(あらかじめ定められたマルウェア対策のルール)に依存せず端末を保護します。頻繁なパターンファイル更新やチューニングが必要ないため、Morphisecの運用にかかる負荷はわずかです。

また、エージェントが数MBと非常に軽量のため、同じ端末にEDRと共存した場合もPCなどのパフォーマンスに影響を及ぼしません。

EDR+Morphisecのケーススタディ

実際にEDRMorphisecを併用している事例をご紹介します。

85,000名の従業員が在籍する英国のヘルスケア企業では、EDRであるMicrosoft Defender for EndpointMDE)で保護しているすべてのPCやサーバーに対し、未知のインメモリ攻撃対策を目的としてMorphisecを導入しました*1

結果として、以下のような効果が得られました。

  • 脅威からの保護能力向上――ランサムウェアやファイルレス攻撃など高度な脅威への対策を実現
  • インシデント対応時間の短縮――Morphisecで検知した深刻な脅威を優先的に対処
  • 製品連携によるオペレーション効率化――MDEの管理コンソールからMorphisecのアラートが確認可能

このように、EDRMorphisecを活用することは、セキュリティ担当者の負担を減らしながら、組織の防御力を向上し、効率的にインシデントへ対応することを可能にします。

インテリジェント ウェイブは、EDR環境に対するMorphisecのスムーズな導入、運用を支援しています。

出典 (参考文献一覧)

※1 Morphisec|BupaLatinAmericaFortifies_CaseStudy.pdf(2024年), (参照日:2025-06-04)