最新版【EDR9選】エンドポイントのセキュリティ製品比較
EDR(Endpoint Detection and Response)は未知のウイルスを検知して対処するセキュリティ製品のことです。企業に対するサイバー攻撃が高度化し、さらにリモートワーク(テレワーク)など、セキュリティ対策がより求められる状況で効果を発揮します。本稿ではEDRの効果、機能、選定ポイント、代表的な製品を紹介していきます。
EDRとは
EDRとはEndpoint Detection and Responseの略であり、パソコンやスマートフォンなどのエンドポイント端末を監視し、不審な挙動を検知して対処する機能を持ったセキュリティ製品を指します。
EDRとEPPの違い
EDRと類似したエンドポイントのセキュリティ対策としてEPP(Endpoint Protection Platform)があります。
EPPはウイルス対策ソフトウェアであり、パターンマッチング技術によるアンチウイルスなど、悪意のあるプログラムから守る(protect)ものです。
感染させない、マルウェアの活動前に駆除するという考え方であり、ウイルスを検知したり対応したりする機能はありません。
EDRは感染は防げない前提
EPPに対してEDRは、感染を防げなかった未知の脅威に対処する製品となります。サイバー攻撃の手口が巧妙化しており完全に防ぐことが難しくなっているため、侵入されて感染することを前提にしたセキュリティ対策であるEDRの導入が重要となってきています。
不正な挙動や振る舞いを検知する
EDRは監視カメラのような役割を担い、未知のマルウェアの不正な挙動や振る舞いを検知することができます。検知したら、マルウェアが侵入した端末の一連の挙動をログに残すため、未知のマルウェアに対処するための情報を得ることができます。
EDRの効果
EDRの効果・メリットは次の4点にまとめることができます。
未知のマルウェアに対応できる
EDRは振る舞い検知や機械学習などの機能により、未知のマルウェアであっても検知することができます。
被害を最小限にとどめる
EDRがマルウェアを検知したら、マルウェアに感染した端末やマルウェア自体を隔離する機能により、ネットワーク経由で感染が拡大することを防ぐことができます。
侵入経路や被害の範囲を特定できる
EDRがマルウェアの行動を監視してログを残すため、侵入経路や被害の範囲を特定する手がかりを得ることができ、適切な対処に役立てることができます。
インシデントの説明責任を果たせる
ログからマルウェアの侵入経路や行動を追うことができるため、インシデント発生の原因を明確にすることができます。侵入経路が明らかになることで、恒久的な対策の検討ができるようになります。
EDRの主な機能
EDRの主な機能を紹介します。
検知機能
EDRは振る舞い検知や機械学習などにより未知のマルウェアを検知しますが、ここで重要となるのが脅威インテリジェンスの活用です。脅威インテリジェンスとは、世界で拡がっているサイバー攻撃に関する特徴や攻撃シナリオなどの情報のことを指します。脅威インテリジェンスを活用する製品を選ぶことで、未知のマルウェアにより効果的に対処できるようになります。
解析機能
マルウェアを検知した際、そのすべての振る舞いを時系列で明らかにすることが重要です。解析すべき情報として、アカウントのログイン履歴、通信に関する情報、操作したファイル名やレジストリ、イベントログの削除履歴などがあり、これらがログとして保存されている必要があります。
インシデント対策
EDRがマルウェアを検知すると、そのマルウェアや感染した端末を隔離する機能があります。隔離する際に、調査に必要なログを残しつつ、ネットワークから切り離します。
隔離したのちに修復するため、危険なファイルの削除・移動、プロセスの現状表示と強制終了、レジストリの更新、再起動などを行ないますが、これらの操作をリモートから実施できるかどうか、自動で修復してくれるかを確認する必要があります。
管理画面
管理画面では、ログを解析・分析した結果などを確認することができます。マルウェアの振る舞いがGUIでグラフィカルに可視化されることで、調査と対処を適切に短時間で行うことができるようになります。さらに、マルウェアの侵入を検知した端末のみでなく、周囲の端末の同時間帯の同一ログを確認することができれば、影響範囲をより的確に把握することができます。
EDRの選定ポイント
EDR選定の際にポイントになるのは、EDR製品の種類や検知方法、価格・料金体系と提供形態です。それぞれの項目について説明していきます。
EDR製品の種類
EDR製品には、EPPとEDRを兼ねたタイプ、EDRに特化したタイプ、さらに、EDRと同時に端末管理が行えるタイプがあります。
EDRとEPP(アンチウイルス)を兼ねたタイプ
EPPはアンチウイルスやマルウェアなどのインターネットの脅威を元にした感染から「守ること」を目的とした製品です。EDR製品の中にはEPPの機能を包括するものもあります。
EDRとEPPを兼ね備えたタイプなら、感染を水際で防ぐEPPの機能と、EPPで防げなかったウイルス感染後の検出と対処を行うEDRの機能を両方利用することができます。
EDRに特化したタイプ
EPPを導入済みなどで既にウイルス感染を防ぐ対策をしている場合は、EDRに特化した製品の導入を検討することになるでしょう。
EPPなど感染を水際で防ぐ製品は、感染後の検知や対処には対応していません。EDR製品を導入することで、より包括的なインターネットセキュリティ対策になります。
端末管理が行えるタイプ
EDRの中には資産管理機能が搭載されたものもあります。端末管理のソリューションを個別に導入する必要がなく、ウイルス対策を行いながら資産管理も行うことができます。
複数エージェントの導入が不要となるため、端末のリソースが抑えられるなどユーザーへのメリットもあります。
検知方法
検知の精度はEDR製品によって違いがあります。未知のマルウェアを検知することができるなど対応できるサイバー攻撃を確認し、要件にあった製品を選びましょう。
インターネットでは日々新しい攻撃が生まれています。未知なるサイバー攻撃も検知できるEDR製品だと将来の運用も心強いでしょう。
価格・料金体系
搭載されている機能の違いや検知・分析の精度の違いにより、価格に差が出ます。料金体系を確認し、予算と照らし合わせて導入を検討しましょう。
EDR製品の中には無料トライアルが利用できるものもありますので、無料トライアルを上手に活用して使い勝手を確認すると良いでしょう。
提供形態
EDR製品のサーバーの提供形態は、価格や保守体制を検討する上で確認しなければならないポイントです。主流はクラウド型製品で、エージェントを端末にインストールしてクラウドサーバーで一括管理を行います。オンプレミス型ではオフライン端末の監視ができるなどのメリットがあるため、機能要件や保守要件、予算に応じて提供形態を選ぶと良いでしょう。
EDR製品比較
おすすめのEDR製品を紹介します。
Symantec Endpoint Security
【特徴】
- AI主導型の検知エンジン
- 世界最大規模の民間脅威分析ネットワークからのインテリジェンスを活用
- 2019年にGartnerによりリーダーの評価を獲得
疑わしいファイルは自動的にサンドボックス処理されます。カスタム調査フローを作成することで、繰り返しの手動タスクを自動化することができます。デバイスの問題解決、修復、復旧をわずか数分で完了できます。
【提供会社】ブロードコム
【金額】お問い合わせ
【無料体験版】なし
LANSCOPE サイバープロテクション
【特徴】
- EPPとEDRを組み合わせたシステム
- 高性能AIにより、未知・既知のマルウェア問わず検知率99%以上
- 導入実績2万社以上のIT資産管理ツールを提供している企業
CylancePROTECTは、EPPとEDRを組み合わせたAIアンチウイルスソフトです。
AIによる「予測防御」で、未知のマルウェアも99%検知が可能になります 。
AIエンジンを搭載したエンドポイントセキュリティ「CylancePROTECT」では、+ 150円でEDR機能の「CylanceOPTICS」を利用することができます。
マルウェアの予測検知と予防・封じ込めの観点からウイルス対策をしたい方におすすめです。
【提供会社】エムオーテックス株式会社
【金額】お問い合わせ
【無料体験版】あり
Cybereason EDR
【特徴】
- AIを活用したリアルタイム検知と秒間800万回のビッグデータ解析
- 国内外で高い評価を得て、第三者認証も受けており、国内シェアNo1
- 管理画面が日本語に対応
イスラエル軍のサイバーセキュリティに携わったメンバーらにより開発されたソリューションです。世界中で10万件以上のサイバー攻撃を検知してきた実績があります。数万台のエンドポイント環境にも対応可能です。複数の端末に対して一度にワンクリックで隔離することができます。自動解析された結果が管理画面に時系列でグラフィカルに表示されるため、事象の全体像を即座に把握することができます。自動レポート生成機能もあります。
【提供会社】サイバーリーズン・ジャパン株式会社
【金額】お問い合わせ
【無料体験版】なし
MVISION EDR
【特徴】
- AIを活用した脅威調査
- 機械学習とAIを活用した自動調査機能
- 自動的にエビデンスの収集と分析を対応
AIを活用した調査機能があり、セキュリティ・インシデントの調査中によく問題になる疑問点に対して自動的に回答を提示してくれます。ワンクリックで1台のエンドポイントにも環境全体にも対応することできます。管理画面では挙動の関係性が視覚的に表示され、状況をすぐに把握することができます。
【提供会社】マカフィー株式会社
【金額】お問い合わせ
【無料体験版】なし
Windows Defender Advanced Threat Protection (ATP)
【特徴】
- エージェントレスでクラウドで動作
- 危険度が高いインシデントに対する自動的な調査
- 2019年にGartnerによりリーダーの評価を獲得
まだ検知例のないポリモーフィック型やメタモーフィック型のマルウェアやファイルレスとファイル ベースの脅威に対して、次世代型の保護で防御することが可能です。自動的にアラートを調査し、複雑な脅威の修復をほんの数分で完了することができます。インシデントの経路・影響を180日前まで遡って調査することが可能です。クライアント機能はWindows10に標準搭載されています。
【提供会社】日本マイクロソフト株式会社
【金額】お問い合わせ
【無料体験版】あり
Sophos Central Intercept X
【特徴】
- マルウェア検出、エクスプロイト対策、ランサムウェア対策を統合
- 高度な機械学習システムであるディープラーニングニューラルネットワークを活用
- 国内外で高い評価を得て、AV-Comparativesでマルウェア検出率No1
毎日約40万件の未知のマルウェアを受信・処理しているSophosLabsがまとめた脅威インテリジェンスをオンデマンドで利用できます。管理画面で視覚的に状況を把握することができ、ワンクリックで脅威の除去と防御が可能です。
【提供会社】ソフォス株式会社
【金額】お問い合わせ
【無料体験版】あり(30日間)
Trend Micro Endpoint Sensor
【特徴】
- EPPとEDRの機能を兼ね備えている
- ハイブリッドなAI技術により検出
- Gartnerにより16年連続リーダーの評価を獲得
Webレピュテーション、機械学習型検索、パターンマッチング、挙動監視、アプリケーションコントロールなどの多層化された検出技術が備わっています。トレンドマイクロ独自のSmart Protection Network(SPN)という脅威インテリジェンスとを活用します。機械学習型検索のモデルを管理サーバからエンドポイントに配布することで、インターネットに接続していない端末に対しても機械学習型検索が可能になります。
【提供会社】トレンドマイクロ株式会社
【金額】お問い合わせ
【無料体験版】なし
Cisco Secure Endpoint(旧Cisco AMP for Endpoints)
【特徴】
- EPPとEDRの機能を兼ね備えている
- さまざまな業種の企業や教育機関、医療機関、自治体への導入実績
- リアルタイムの脅威インテリジェンスと動的マルウェア分析をベースに対応
感染したエンドポイントを1クリックで分離することができます。エージェントレス検出機能により、OSレベルでの侵害が発生する前にマルウェアを捕捉できます。既存のエンドポイントセキュリティ製品との共存も可能です。Webベースのコンソールで管理します。分析はクラウドで行われるため、ユーザへのパフォーマンスの影響は最小限に抑えられます。
【提供会社】シスコシステムズ合同会社
【金額】お問い合わせ
【無料体験版】あり(4週間)
Endpoint Standard(旧CB Defense)
【特徴】
- ストリーミングプリベンション機能による検出
- 5,000社以上の顧客のエンドポイントからのログをベースにしたインテリジェンスを活用
- マルウェア検知率99.79%、誤検知率0%
クラウド上のビッグデータ解析の一つであるイベントストリーミング技術を利用して、エンドポイントのイベントログをクラウド上でリアルタイムに解析することができます。これにより、既知・未知を問わずマルウェア・ランサムウェア・ファイルレス攻撃を検知することができます。エンドポイントのクライアント機能のCPUおよびメモリの使用率は1%以下であり、負荷がかかりません。ダッシュボードにて視覚的にセキュリティ状況と課題が可視化されます。
【提供会社】サイバネットシステム株式会社
【金額】お問い合わせ
【無料体験版】あり(14日間)
まとめ
サイバー攻撃が巧妙化する中で、EDRを導入することにより未知の脅威を検知・解析し対処することで、被害を最小限にとどめることができるようになります。EDRの特徴や機能を把握した上で、自社の求める機能や運用負荷に合ったEDR製品を選定することをおすすめします。