EDRとは、PC、サーバー、スマートフォン、タブレットなどの個人デバイス（エンドポイント）で不審な挙動を検知・対応するセキュリティ・ソリューションを意味します。

 
EDR（Endpoint Detection and Response 、エンドポイントでの検出と対応）とは、エンドポイントをモニタリングし、不審な挙動を検知、分析、報告することで、被害が拡大しないよう対処するセキュリティ・ソリューションを意味します。

サイバー攻撃の高度化により侵入後対策の重要性が認知され、国内企業のEDRセキュリティに対する注目度も高まっています。富士キメラ総研調査によると、2020年度EDR市場の市場規模は180億円（2019年度比87.5％増）で、2025年度には740億円（2019年度比7.7倍）に達すると予測しています。

エンドポインの場合、端末の種類やメーカー、OSが多種多様であり、またリソースを存分使えないため、複雑なセキュリティソリューションを導入・設置することは極めて難しいです。そのセキュリティ対策として、侵入・感染を試みるサイバー攻撃を「防止」するアンチ・ウイルス・ソフトウェアがよく使われてきました。しかし攻撃の手口は極めて高度化・巧妙化しつつあり、サイバー攻撃による侵入や感染を100％防ぐのはもはや不可能だといわれています。従って、サイバー攻撃を「防止」するための対策だけでなく、万が一侵入や感染を許してしまった場合に備えて、その存在をいち早く検知して脅威を除去する対策が不可欠となりました。

これらのニーズに合到するエンドポイント・セキュリティ・ソリューションがEDRです。

EDRは、「今エンドポイントで何が起きているのか？」を把握するために、エンドポイントでのユーザ行動とアプリケーション活動を監視、記録、分析し、そこで「行動パターンDB」を形成します。もしハッカーが、従来のアンチ・ウイルス・ソフトウェアの検知をすり抜ける新たな手口で攻撃を仕掛ける場合、EDRはこの「行動パターンDB」と比較することで不番な挙動か否かを判断します。そして「通常の行動ではない」と判断したら適切な対応策を管理者に教えることで、被害拡大を抑えられます。

つまりEDRは、サイバー攻撃を「防止」することだけでなく、新たな手口によって攻撃されたとしても、「対応」「復旧」の役割を果たすことで、従来アンチ・ウイルス・ソフトウェアがカバーできなかった新・変種攻撃と侵入後の攻撃に対応することができます。

 

働き方のデジタル化やテレワークシフトにつれ、エンドポイントがより一層多様になるはずです。そのため従来のエンドポイント・セキュリティの盲点を補えるEDRへの注目度はこれからも向上し続けるでしょう。

 

EDR導入に欠かせない重要なポイント

アンチウイルスソフトウェアを補完するソリューションとして脚光を浴びるEDR、このEDRを組織に導入する際、次のようなEDRの主要機能について検討する必要があります。​

- 脅威ハンティングとインシデントレスポンス

EDRは、インテリジェンス型攻撃のような高知能のセキュリティ脅威を探り出す能動的な検知プロセス「脅威ハンティング（Threat Hunting）」と、セキュリティ事故発生後の対応を行う「インシデントレスポンス（Incident Response）」で被害を最小限に抑えることができます。

- フィルタリング機能

多くのデータのなか​対応が必要な脅威を見抜け(フィルタリング）担当者に知らせる機能です。もし、EDRのフィルタリングの水準が低い場合、実際に発生した脅威を見逃したり、不必要な警告を鳴らしたりするかもしれまえん。

- 種々の脅威からエンドポイントを保護

EDRは種々なタイプの脅威（ランサムウェア、マルウェア、異常なデータ移動等）を同時に処理しなければなりません。 特定の脅威にのみ対応すると、変化するサイバー脅威からエンドポイントを保護するのは難しいことになります。

 

現在、市場には様々なEDRソリューションが存在しますが、そのすべてがEDRに求められる機能や性能を備えているわけではありません。そのため、EDR導入の際、上記の主要機能とその性能をきちんと検討し、企業のビジネスに最も適切なEDRを選択することが重要です。