えもんブログ

社内SEのひとりごと

EDR(Endpoint Detection and Response)とは?(1)

スポンサーリンク

 

こんにちは、えもんです。
今回は、エンドポイントセキュリティ領域でウィルス対策、NGAVに続いて近年、注目されているEDRを取り上げます。

 

EDRとは?

EDRはEndpoint Detection and Responseの略でエンドポイントに入ってきた脅威の検知、および脅威に対する対応をサポートする製品群を指します。

EDRを提供している代表的なベンダーとして下記のようなベンダーがあります。

 

主なEDRベンダーと製品名
ベンダー
TrendMicro
Cybereason
CarbonBlack
製品名
Endpoint Threat Defense and Response
SEP ATP
Endpoint Sensor
Cybereason
CB Response
CB Defense

 

このようにウィルス対策ソフトとして有名なベンダもEDR領域の製品を出しております。では何故ここに来てEDRが取り上げられるようになったのでしょうか。

 

ウィルス対策ソフトは死んだ

 

「ウィルス対策ソフトは死んだ。」

 

2014年、当時のSymantec副社長がこのような発言をしました。

この発言には定義ファイルだけに頼るウイルス対策ソフトは価値を生まないという意図が込められていたようですが、言葉が言葉だけに非常に話題となりました。

定義ファイルベースのウィルス対策ソフトのみでは現代のマルウェアに対応できないということです。

現代のマルウェアポリモーフィック型が多いのが現状です。ポリオモーフィック型マルウェアというのは自分で自分の形を変えていくマルウェアとイメージしていただければと思います。

定義ファイルがアップデートされる前に亜種のマルウェアが着弾するわけですから到底防御できません。

それに伴い、NGAV(Next Generation Anti-Virus)のような製品も出てきていますが、攻撃が高度化する中ですべての攻撃を防ぐことは不可能になってきています。

 

これからは今まで見たことの無いマルウェアにどのように対応するかがテーマになります。

 

そのような状況の中でマルウェアに感染するのは仕方ない。といった立場に立って端末侵入後の検知を迅速化、対応を効率化させるためにEDRは登場しました。

 

つづきは後日。