search close

テーマ別対策
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なアタックサーフェスリスクマネジメント、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      統合サイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中小企業向けセキュリティ
  - 中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
製品・ソリューション
- 統合サイバーセキュリティプラットフォーム
  - 統合サイバーセキュリティプラットフォーム
    - Trend Vision One
      
      統合サイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - Trend Companion
    - Trend Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- アタックサーフェスリスクマネジメント
  - アタックサーフェスリスクマネジメント
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- チャネルパートナー
  - チャネルパートナー
    - チャネルパートナー
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナーさま向けお役立ち情報
    - パートナーさま向けお役立ち情報
      
      セキュリティに関する勉強コンテンツや、販売から導入に役立つパートナーさま向け情報をご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - 子ども・保護者向けセキュリティ教育
    - 子ども・保護者向けセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - ニュース＆トピックス
    - ニュース＆トピックス
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

EDR(Endpoint Detection and Response)

EDR(Endpoint Detection and Response)とは

EDR（Endpoint Detection and Response）は、エンドポイント（クライアント端末、サーバなど）において実行されたプロセスのアクティビティを常時記録し、攻撃者による不正な挙動の兆候を検知します。また、攻撃の全体像の可視化や、リモートによるエンドポイントの隔離機能などを提供することで、インシデントの根本原因の効率的な調査と迅速な対応を支援します。

EDRが求められる理由
EDRの主な機能
EDRとEPPの違い
EDRとXDRの関係性
EDRの選定ポイント
まとめ
ウェビナーによる解説
EDRに関する業界における評価
EDRについての関連情報

EDRが求められる理由

企業や組織を標的としたサイバー攻撃は日々巧妙化しています。以前までは、不正なプログラムを添付したメールなどを不特定多数に配信し、それを開いたユーザのPCがマルウェアに感染する「ばらまき型」の攻撃手法が主流でした。

一方で、昨今は、メール以外にもネットワーク機器やプロトコルの脆弱性などを突いて組織のネットワークに直接侵入したのちに、端末を制御（遠隔操作）し、感染拡大や機密情報窃取のために内部活動を行う「標的型攻撃」の特徴を取り入れた攻撃が増加しています。

そして、その標的型攻撃における内部活動では、攻撃者はセキュリティ製品からの検知を回避するために、不正なプログラムの使用は最小限にして、侵入した組織のシステムにある正規ツールを悪用します。このように攻撃活動をステルス化する攻撃手法は「Living Off the Land攻撃（環境寄生型攻撃）」と呼ばれています。

ステルス化された攻撃は、従来のセキュリティソフトなどのEPP(Endpoint Protection Platform)による対策だけでは防ぐことが難しいことから、昨今の高度な脅威への対策としてEDRが求められています。

EDRの主な機能

EDRでは主に以下のような機能を提供します。

テレメトリの収集と保存
エンドポイントにおけるメモリやファイルシステム上に展開されたプロセス、ファイルの作成や削除、ネットワークの状況、レジストリの変更などの挙動を示す「テレメトリ」と呼ばれる情報を収集して、データレイクに保存します。

高度な脅威の兆候の検知
収集したテレメトリに対して、セキュリティベンダーの脅威インテリジェンスやMITRE ATT&CKフレームワークのような攻撃者の特徴を照らし合わせることで、疑わしいイベントを検出して管理者に通知します。

プロセスチェーンの可視化
収集したテレメトリをもとに、不審なプログラムが実行された際のプロセスをチェーン上に表示することで、展開状況を可視化します。エンドポイントにおける脅威の全体像の把握と効率的な根本原因の調査を実現します。

リモートによるインシデント対応機能
調査の結果、インシデントと判断されたイベントに関連するエンドポイントに対して主に以下のような操作をリモートで実行します。
・不審なファイルや通信先のブロックリストへの追加
・不審なファイルの収集
・メモリのダンプ
・感染したエンドポイントの隔離
・カスタムスクリプトの実行
・リモートシェルセッションの実行

プレイブックによる自動化
インシデントの検知から、調査・対応までの処理を迅速化するために、プレイブックを作成することで一連の対応を自動化します。

図：EDRによるプロセスチェーンの可視化

EDRとEPPの違い

EDRとEPPはどちらもエンドポイントに実装するセキュリティ対策ですが、提供する機能や導入後の運用が異なります。

EDRとEPPの提供機能の違い

EDRとEPPはそれぞれの技術の名称のとおり、セキュリティ対策の目的が異なります。

EPPが、脅威の侵入を事前に阻止する「防御(Protection)」を目的としていることに対して、EDRは、侵入後の脅威による被害を阻止・軽減する「検知と対応(Detection and Response)」を目的としています。

EPPは、既知の脅威に対して有効なパターンマッチングの他に、亜種や未知の脅威に対して有効な挙動監視や機械学習型検索など“NGAV”(Next Generation Anti-Virus)と呼ばれるようなセキュリティ機能を提供します。

一方で、EDRは前述のとおり、エンドポイントのテレメトリを収集したうえで、攻撃者による攻撃の特徴と照らし合わせて侵入された脅威を検知します。そして、その後の感染拡大を阻止するために調査や対応を支援する機能を提供します。

EDRとEPPの運用の違い

EPPは脅威を事前に防御することを目的とした技術のため、マルウェアなどがエンドポイントに侵入してきた際には、対象の検体のブロックや隔離までEPPが処理を行います。EPPの運用担当者における日々の主なタスクは、脅威をブロックもしくは隔離したことを示すログを確認して、特定のアラートが多発していないかということや、誤検知がないかなどの確認です。

一方で、EDRは侵入された脅威の検知と対応を目的とした技術のため、EDRの運用担当者は、EDRが検知したイベントと可視化した情報をもとにインシデントに該当するか調査を行います。そして、インシデントと判断された場合には、根本原因の追究や感染拡大防止のための対応を行います。そのため、EDRの運用担当者はインシデントの調査にあたって、攻撃手法や脆弱性、実行されたコマンドの理解など、よりセキュリティに関する知見が求められます。

EDRとXDRの関係性

エンドポイントにおける侵入後の脅威の検知と対応を目的とするEDRに対して、XDR（Extended Detection and Response）は対象がエンドポイントに留まらず、メールやネットワークなど複数レイヤを対象としたテレメトリを収集したうえで相関分析を行い、脅威の検知と対応を支援します。つまり、EDRはXDRを構成する一つの要素として包括されている関係となります。

一方で、エンドポイント上のテレメトリは脅威の分析において、もっとも有用な情報を含んでいるため、XDRを構成するうえでEDRは最も重要な技術です。

また、EDRはエンドポイント上の脅威を解析するうえで効果的な技術であるのに対して、XDRは特に組織のネットワークの規模が大きい場合や、被害が広範に渡る場合にその相関分析の効果が発揮されます。

図：EDRによるプロセスチェーンの可視化

EDRの選定ポイント

企業や組織においてEDRの導入を検討する際には、EDRが提供する技術的な機能面に加えて、自分たちの組織の体制やリソースを考慮した運用面における適切なEDRを選定することが重要です。EDRソリューションを選定する際の主なポイントは以下の通りです。

攻撃手法と攻撃シナリオの検知力

EDRを選定するうえで、高度な脅威を検知するための検知力が不可欠です。これは、MITRE ATT&CKフレームワークで示されている単体の攻撃手法をただ検知すればいいというわけではなく、攻撃者がよく使う一連の攻撃手法の組み合わせ、つまり「攻撃シナリオ」を検知することが重要です。

攻撃手法の検知だけでは、そのイベント数が多くなる傾向があるため、運用に負担が掛かります。攻撃シナリオを検知するモデルを用意しているEDRでは、実際の攻撃者の挙動に近しい精査されたイベントをアラートとして通知するため、インシデントの発見を効率化します。

グローバルレベルの脅威インテリジェンス

サイバー脅威はグローバル全体で日々複雑化しています。そのため、前述の攻撃手法や攻撃シナリオの検知力を向上するためには、EDRを提供するセキュリティベンダーにおけるグローバルレベルの脅威インテリジェンスが情報源になります。

世界中の脅威リサーチャーによって日々脅威動向を定点観測し、企業が注視すべき情報を提供するセキュリティベンダーの脅威インテリジェンスが搭載されたEDRによって、最新の脅威から組織を保護します。

リスクスコアの定量化

セキュリティ担当者がEDRによって発出されたアラートに対応する際には、どのイベントから対処していくべきかのトリアージ（優先順位をつけて取り組むこと）が必要になります。イベントの深刻度と影響範囲を自動的に加味したリスクスコアによる定量化を提供するEDRによって、優先的に対応すべきイベントの迅速な把握を実現します。

サポートの質

EDRの運用では、攻撃手法や脆弱性、実行されたコマンドの理解など、よりセキュリティに関する知見が求められます。そのため、EDRの操作方法に加えて、脅威に関する知見を備えたサポートを提供するセキュリティベンダーを選択することで、持続可能な運用を実現します。

マネージドサービス（MDR）の範囲

リソースを考慮した結果、自組織でのEDRの運用が難しい場合には、マネージドサービス（MDR）を検討します。マネージドサービス（MDR）の中にはEDR導入後、イベントが発生した際のアラートの通知のみを提供するものもあれば、EDRの導入からインシデント対応、事後対応までサポートするものもあります。

組織がセキュリティに割けるリソースは変化する可能性があるため、将来も見据えて柔軟なマネージドサービス（MDR）を提供するセキュリティベンダーとの連携が重要になります。

まとめ

EDRは導入することで高度な脅威への対策が完了するというわけではなく、導入後の適切な運用が重要です。そのため、自組織で運用を行うのか、もしくはマネージドサービス（MDR）によって運用をアウトソースすべきなのかといった、長期的な視点で導入を検討する必要があります。

また、将来的にはEDRの能力を拡張したXDRといった技術との統合やアタックサーフェスの管理、ゼロトラストといった観点も予め念頭に置いたプラットフォームを選択することで、今後も進化しつづけることが予想される脅威からの保護に繋がります。