まず、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)という二つの用語について説明します。 EPPは従来のウイルス対策ソフトをEDRとの対比のためにこう呼んでいますが、基本的にはシグネチャにより、パソコン等に入ってきたファイルをチェックして、マルウェアと判定したら隔離や警告をするものです。 EDRは、エンドポイント(パソコンやサーバー)の挙動を見張っていて、マルウェア特有の挙動を検知(Detection)したら、対応(Response)するものです。 EDRの対応には、例えば、以下のようなものがあります。
ドキュメントファイルのマクロがマルウェア本体をダウンロードしようとしたのでダウンロード自体を止め、関連ファイルを隔離した
ダウンロードされたファイルがマルウェア特有の挙動を示したのでマルウェアを停止・隔離した
マルウェアが本格的に動き出したので、当該のパソコンをネットワークから遮断して被害拡大を防いだ
EPPとEDRの違いを、犯人逮捕で比喩的に説明すると、EPPは指名手配による逮捕、EDRは現行犯による逮捕に相当します。EPPの方が、より早い段階で対応できるため、EDRを導入する場合でもEPPも合わせて用いられます。ベンダーによってはEPPとEDRを統合しています。
各対応には、EDRが検知のみして管理者が対応するものと、EDRが対応までするものがあります。全部自動的に対応してくれれば簡便なのですが、EDRの過剰検知で業務上必要なプログラムが止められる可能性もあるため、基本的には人手による監視と対応が前提となります。そして、極力自動化で対応しつつ、例外的なものは人手による対応になります。自社内でEDRの監視・対応ができない場合は、専門の会社に対応をアウトソースする場合も多く、MDR (Managed Detection and Response) と呼ばれます。
最近は、XDR(Extended Detection and Response)と言って、エンドポイント(パソコンやサーバー)だけでなくネットワーク機器も含めて監視・対応するソリューションも増えてきました。
より高度なソリューションが出てきているということは、EDR単体では限界があるということですね。これは、過去のすべてのセキュリティソリューションに共通の現象であり、「これさえ入れておけば大丈夫」という状況になったことは、過去一度もありません。EDRも例外ではありません。