EDR(Endpoint Detection and Response、イーディーアール)とは、PC・サーバ・スマートデバイスなどの端末(エンドポイント)上の挙動を継続的に監視・記録し、不審な動きの検知から調査・封じ込め・復旧までの対応を支援する仕組みです。「侵入されない」ことを目指す従来の防御とは発想が異なり、「侵入される前提で、いかに早く気づいて対処するか」に主眼を置いた技術です。
マルウェア対策ソフト(EPP)をすり抜ける攻撃が当たり前になった今、EDRは多くの企業で「次に検討すべき対策」として名前が挙がります。本記事では、EDRの定義・仕組み・EPP/NDR/XDRとの違いを整理し、情シスが導入・運用で押さえるべき現実的なポイントまで解説します。
この記事でわかること
- EDRとは何か(1文での定義と、従来型対策との考え方の違い)
- EDRがどう動くか(収集・検知・対応の仕組み)
- EPP・NDR・XDRとの違いを表で整理
- 情シスが導入・運用でつまずきやすい「落とし穴」と現実的な進め方
EDRとは(定義)
EDRとは、エンドポイント上で起きたイベント(プロセスの起動、ファイル操作、通信、レジストリ変更など)を継続的に収集・記録し、それらを解析して脅威の兆候を検知し、検知後の調査と対応を支援するソリューションです。米国の標準化機関NIST(米国国立標準技術研究所)の用語集でも「Endpoint Detection and Response(EDR)」が定義語として収録されており(出典: NIST SP 1800-24C、NIST SP 800-66r2)、業界共通の用語として定着しています。
ポイントは名前のとおり「Detection(検知)」と「Response(対応)」の両輪である点です。単にマルウェアをブロックするのではなく、すり抜けて侵入した後の不審な挙動を可視化し、管理者が「何が起きたか」を追跡して対処できるようにすることが本質です。
なぜ重要か(背景)
かつてのエンドポイント対策は、既知のマルウェアをパターン(シグネチャ)で検知してブロックする「入口での防御」が中心でした。しかし現在は、
- 既知パターンに当てはまらない新種・亜種のマルウェアや、ファイルを使わない攻撃(ファイルレス攻撃)
- 正規ツール(PowerShellやリモート管理ツール等)を悪用してマルウェアらしさを隠す手口
- VPN機器や認証の脆弱性を突いて、正規ユーザーになりすまして侵入する攻撃
といった「防御をすり抜ける」攻撃が一般化しました。100%の侵入防止は現実的でないという前提に立つと、「侵入された後にいかに早く気づき、被害が広がる前に封じ込めるか」が勝負になります。この「侵入後」のフェーズを担うのがEDRであり、ゼロトラストの考え方とも親和性が高い対策です(参考: ゼロトラストとは?境界防御との違いと導入の勘所)。実際、NISTのゼロトラスト・アーキテクチャの文書(NIST SP 800-207)でも、EDRはアクセス判断に使う情報源(ポリシー情報ポイント)の一つとして位置づけられています。
EDRの仕組み(どう動くのか)
EDRは大きく次の流れで動作します。
- 収集(エージェント): 各端末に導入した軽量なエージェントが、プロセスの実行・ファイルの読み書き・ネットワーク通信・ログオンなどのイベントを常時記録します。
- 解析・検知: 収集したログをクラウド側などで解析し、攻撃の振る舞いパターンや異常な挙動を検知します。検知ロジックには、攻撃手法を体系化したナレッジである「MITRE ATT&CK」などが参照されることが多くあります。
- 通知・調査(可視化): 不審なイベントを検知すると管理者にアラートを上げます。管理者は「どの端末で、いつ、どのプロセスが、何をしたか」を時系列で追跡(フォレンジック)し、影響範囲を調べられます。
- 対応(Response): 感染が疑われる端末をネットワークから隔離する、不審なプロセスを停止する、といった封じ込め操作を遠隔から実行できます。
つまりEDRは「監視カメラ+ドライブレコーダー+緊急停止ボタン」を端末に付けるイメージに近い仕組みです。攻撃を未然に防ぐのではなく、起きたことを記録・追跡し、素早く手を打てるようにするものだと理解すると分かりやすいでしょう。
EPP・NDR・XDRとの違い
EDRと混同されやすい用語に、EPP・NDR・XDRがあります。役割が重なる部分もありますが、守備範囲と目的が異なります。
| 用語 | 主な対象 | 目的・役割 |
|---|---|---|
| EPP(Endpoint Protection Platform) | エンドポイント | 既知のマルウェア等を侵入「前」にブロックする防御。従来型アンチウイルスの発展形。 |
| EDR | エンドポイント | 侵入「後」を想定し、不審な挙動を検知して調査・対応する。 |
| NDR(Network Detection and Response) | ネットワーク通信 | ネットワーク上のトラフィックを監視し、不審な通信を検知・対応する。 |
| XDR(Extended Detection and Response) | 横断(端末+ネットワーク+クラウド+メール等) | 複数の対策製品のログを横断的に集約・相関分析し、攻撃の全体像を捉える。EDRの考え方を拡張したもの。 |
整理すると、EPPは「入口の防御」、EDRは「侵入後のエンドポイント側の検知・対応」、NDRは「ネットワーク側の検知・対応」、XDRはそれらを束ねて全体を見るという関係です。EPPとEDRは対立するものではなく、近年は両機能を一体で提供する製品も増えています。「EPPで防ぎきれなかったものをEDRで捕まえる」という多層防御が基本の考え方になります。
情シスの実務での扱い(導入・運用の勘所)
EDRは強力ですが、「導入すれば自動で守ってくれる魔法の箱」ではありません。むしろ運用してこそ価値が出る対策で、ここでつまずく組織が少なくありません。現場目線で特に注意したい点を挙げます。
EDRを入れれば安心?
いいえ。EDRは「検知」と「対応の手段」を提供しますが、アラートを見て判断し、隔離や調査を実行するのは人です。アラートが上がっても誰も見ていなければ意味がありません。導入時は「誰が・いつ・どうアラートに対応するか」という運用体制をセットで設計する必要があります。
運用でつまずきやすいポイント
- アラート対応の人手不足: EDRは正常な挙動と紛らわしいイベントも拾うため、誤検知を含むアラートのトリアージ(重要度の切り分け)に手間がかかります。少人数の情シスでは「アラートは出るが見きれない」状態になりがちです。
- 導入端末の抜け漏れ: エージェントが入っていない端末は監視できません。私物端末(BYOD)や管理外のサーバ、出先で使う端末など、カバレッジの穴が最大の弱点になります。
- 対応スキルとログ保全: インシデント発生時の調査・封じ込めには一定の知識が要ります。また、後から追跡できるようログの保全期間も確認しておきましょう。
こうした運用負荷を自社で抱えきれない場合、EDRの監視・運用を専門事業者に委託するMDR(Managed Detection and Response)という選択肢もあります。「製品を入れる」だけでなく「運用をどう回すか」までを含めて検討するのが現実的です。EDRはあくまで多層防御の一要素であり、組織全体としての対策の優先順位づけは、IPAの中小企業の情報セキュリティ対策ガイドラインなどの公的指針を出発点にすると整理しやすいでしょう(参考: IPA中小企業セキュリティ対策ガイドライン4.0版の要点)。
あわせて、侵入後の被害を抑えるという意味では、バックアップの整備も両輪です(参考: バックアップの3-2-1ルールとは?ランサム対策の基本)。
まとめ
- EDRとは、エンドポイントの挙動を継続監視し、侵入後の脅威を「検知」して「調査・対応」を支援する仕組み。100%防げない前提に立った対策。
- EPP(入口の防御)・NDR(ネットワーク側)・XDR(横断的に相関分析)との役割分担を理解し、多層防御の中で位置づけることが重要。
- 導入よりも運用が肝。アラート対応体制・端末のカバレッジ・ログ保全をセットで設計し、手が回らなければMDRの活用も検討する。
出典・参考
- NIST CSRC 用語集「Endpoint Detection and Response (EDR)」(出典: NIST SP 1800-24C, NIST SP 800-66r2): https://csrc.nist.gov/glossary/term/endpoint_detection_and_response
- NIST SP 800-207「Zero Trust Architecture」: https://csrc.nist.gov/pubs/sp/800/207/final
- IPA「中小企業の情報セキュリティ対策ガイドライン」: https://www.ipa.go.jp/security/guide/sme/index.html
- MITRE ATT&CK: https://attack.mitre.org/
