エンドポイントの検出と対応 (Endpoint Detection and Response、EDR) は、エンドポイントでの脅威の検出と対応 (Endpoint Threat Detection and Response、ETDR) とも呼ばれ、エンドポイント データのリアルタイムの継続的なモニタリングと収集に、ルールベースの自動化された対応と分析の機能を組み合わせた、統合エンドポイント セキュリティ ソリューションです。この用語は、Gartner の Anton Chuvakin 氏が提案した用語で、ホストとエンドポイント上の不審なアクティビティを検出して調査し、高度な自動化を採用してセキュリティ チームが脅威を迅速に特定して対応できるようにする新しいセキュリティ システムを表します。
EDR セキュリティ システムの主な機能は次のとおりです。
EDR の導入は、今後数年間で大幅に増加すると予測されています。Stratistics MRC の Endpoint Detection and Response - Global Market Outlook (2017-2026) によると、EDR ソリューションの売上高は、オンプレミスとクラウドベースの両方で、2026 年までに 72 億 7,000 万ドルに達し、年間成長率は 26% 近くに達すると予想されています。
EDR の導入が増える要因の 1 つは、ネットワークに接続するエンドポイントの数の増加です。もう 1 つの大きな要因は、サイバー攻撃の巧妙化です。ネットワークに侵入しやすいターゲットとしてエンドポイントが頻繁に狙われます。
EDR セキュリティは、エンドポイント データの収集、相関、分析だけでなく、アラートを調整し、差し迫った脅威に対応するための統合ハブを提供します。EDR ツールには、次の 3 つの基本的なコンポーネントがあります。
エンドポイント データ収集エージェント。 ソフトウェア エージェントは、エンドポイントのモニタリングを実施し、プロセス、接続、アクティビティ量、データ転送などのデータを一元的なデータベースに収集します。
自動応答。 EDR ソリューションの事前構成ルールは、既知のタイプのセキュリティ侵害を示す受信データを検出し、エンド ユーザーのログオフやスタッフ メンバーへのアラートの送信など、自動応答をトリガーできます。
分析とフォレンジック。 エンドポイントの検出と対応システムには、事前構成されたルールに適合しない脅威を迅速に診断するリアルタイム分析と、脅威ハンティングまたは攻撃の事後分析を行うフォレンジック ツールの両方が組み込まれている場合があります。
新たな機能やサービスの登場により、脅威を検出して調査する EDR ソリューションの機能は強化されています。
たとえば、Trellix Global Threat Intelligence などのサードパーティの脅威インテリジェンス サービスは、エンドポイント セキュリティ ソリューションの有効性を高めます。脅威インテリジェンス サービスは、現在の脅威とその特性に関するグローバルな情報を組織に提供します。この集合知により、EDR はエクスプロイト、特に多層攻撃とゼロデイ攻撃を特定できるようになります。多くの EDR セキュリティ ベンダーは、エンドポイント セキュリティ ソリューションの一部として脅威インテリジェンスのサブスクリプションを提供しています。
さらに、EDR ソリューションの中には、AI と機械学習を活用して、調査プロセスの手順を自動化できる、新たな調査機能を搭載しているものもあります。これらの新機能は、組織のベースライン動作を学習し、この情報と他のさまざまな脅威インテリジェンス ソースを使用して、結果を解釈します。
別のタイプの脅威インテリジェンスとして、MITRE で進行中の Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) プロジェクトがあります。MITRE は米国政府と協力している非営利研究グループです。ATT&CK は、実際の数百万件のサイバー攻撃の研究結果に基づいて構築されたナレッジベースおよびフレームワークです。
ATT&CK は、IT システムへの侵入に使用された戦術、悪用されたシステムの脆弱性の種類、使用されたマルウェア ツール、攻撃に関連する犯罪グループなど、さまざまな要素によってサイバー脅威を分類します。エクスプロイトに対するわずかな変更があるかどうかにかかわらず、変わらないパターンや特性を特定することに注力しています。IP アドレス、レジストリ キー、ドメイン番号などの詳細は頻繁に変わる可能性があります。しかし攻撃者の手法―手口と言ってもいいでしょう―は通常、変わりません。EDR は、これらの一般的な動作を使用して、他の方法で変更された可能性のある脅威を識別できます。
IT セキュリティ担当者は、ますます複雑化するサイバー脅威に直面しており、ネットワークにアクセスするエンドポイントの数が増えて種類も多様化しています。そのため、エンドポイントの検出と対応のソリューションが提供する、自動化された分析と対応によるサポートがますます必要になっています。