【製品紹介】VMware Carbon Black

EDR(Endpoint Detection and Response)とは?

EDR(Endpoint Detection and Response)とは?

サイバーセキュリティの脅威

近年、最も話題となったサイバーセキュリティの脅威をご存じでしょうか?

高度化する情報化社会の中で悪意のあるソフトウェアやハッキングツールは、誰でも、いつでも、簡単に手に入れることができるようになりました。
金銭目的だけでなく自分の力を誇示するための愉快犯や政治主張、個人的な恨みから国家レベルでの攻撃まで、企業や組織は限られた情報セキュリティ予算の中でありとあらゆる脅威に晒されています。

情報処理推進機構の調査によるとサイバーセキュリティ脅威は「標的型攻撃」による情報流出が1位となり、次いで「ランサムウェア被害」が2位となっています。
攻撃者の手法はますます高度化・複雑化しており、ウイルス対策ソフトを簡単にすりぬけるマルウェアから多くの被害がでています。悪いものを追いかける従来型ウイルス対策ソフトではエンドポイントセキュリティはもはや万全ではないと言えるのではないでしょうか。

EDR (Endpoint Detection and Response) とは?

攻撃者からの侵入は、100%の確率で全てを防ぐことはできません。
100%の確率で全てを防ぐことができないのであれば、万が一の侵入に備えてエンドポイントでの検知と早期対応にフォーカスしよう、という考え方から生まれたセキュリティ製品がEDR (Endpoint Detection and Response)で、サイバーセキュリティに対する新しい考え方といえます。

従来のウイルス対策ソフトとの違い

従来のエンドポイントセキュリティ製品は「侵入を止めること」を主な目的としています。

EDR製品はエンドポイントでの「マルウェアの検知および感染した後の対応を迅速に行うこと」と目的が異なっており、EDRは従来のエンドポイントセキュリティ製品でカバーできていなかった領域に対応する製品と言えます。

遠隔処理機能

EDR製品には管理者が感染端末にコンソール経由でアクセスし、対処を行う機能が備わっているものがあります。
調査のための情報取得やマルウェアの隔離・削除の実行、侵害後の復旧を行うことができます。

今までは感染端末を回収する際に電源がオフになることで、調査するための証拠が消えてしまいましたが、EDRを導入して遠隔対処機能を使えば、その懸念はなくなります。
感染端末の回収が不要になるので、感染した端末のユーザへの業務支障がなくなり、管理者にとっても工数削減、インシデント対応の迅速化につながります。

お客様が受け取る価値

EDR製品は「今、PCで何が起きているのか?」を可視化し、マルウェア侵入後の「情報漏洩の有無は?」「影響範囲は?」などの様々な立場から出る質問に回答し、マルウェア駆除などの対応にかかる時間を大きく短縮します。
数千~数万のPCを管理している会社にとっては、インシデント対応工数の面からも非常に有用な製品となりえます。