「ウイルス対策ソフト、入れてあります」——それだけで安心していませんか?
従来のウイルス対策ソフトは、既知のマルウェアのパターンと照合して「防ぐ」ことを主な役割としています。しかし現代の攻撃は、パターンに引っかからない未知の手法や、正規ツールを悪用する「Living off the Land」攻撃が主流です。防ぐだけでは限界があります。
この記事では、EDRの仕組みと従来のウイルス対策ソフトとの違い、導入前に決めておくべきことを整理します。
EDRとは——「検知して対応する」エンドポイント保護の仕組み
EDR(Endpoint Detection and Response) エンドポイント(PC・サーバー・モバイル端末)上の活動を継続的に記録・監視し、不審な挙動を検知して対応を支援するセキュリティソリューション。防御ではなく「検知と対応」に特化している。
EDRはエンドポイント上で起きているすべての活動——プロセスの起動、ファイルの読み書き、ネットワーク接続、レジストリの変更——を継続的に記録します。そのデータをもとに「通常とは異なる挙動」を検知し、管理者にアラートを上げる仕組みです。
ランサムウェアに感染した場合の初動対応については「ランサムウェア対応の初動手順」で解説しています。
従来のウイルス対策ソフト(EPP)との違い
EPPとEDRの役割分担——防ぐと検知・対応は別物
EPP(Endpoint Protection Platform) マルウェアのシグネチャ(パターン)との照合や振る舞い検知によって、既知の脅威をエンドポイントに侵入させないことを主目的とするセキュリティソフト。一般的な「ウイルス対策ソフト」はこちらに分類される。
EPPとEDRは競合するものではなく、役割が異なります。
| 比較項目 | EPP | EDR |
|---|---|---|
| 主な目的 | 既知の脅威を防ぐ | 侵入後の脅威を検知・対応する |
| 検知方法 | シグネチャ照合・ヒューリスティック | 振る舞い検知・AIによる異常検出 |
| データの記録 | 基本的に記録しない | すべての活動を継続記録 |
| インシデント調査 | 困難 | 攻撃の経路・範囲を遡って追跡できる |
| 主な用途 | 日常的なマルウェア防御 | 高度な攻撃の検知・フォレンジック |
現代のセキュリティ設計では、EPPで「入口を防ぐ」とともに、EDRで「侵入後の動きを追う」という多層防御の考え方が基本です。
なぜEPPだけでは足りないのか
従来のウイルス対策ソフトが苦手とする攻撃パターンが増えています。
ファイルレス攻撃:マルウェアのファイルをディスクに保存せず、PowerShellやWMIなどの正規ツールをメモリ上で悪用する手法です。シグネチャ照合では検知できません。
Living off the Land攻撃:OSに標準搭載されているツール(PowerShell・certutil・regsvr32など)を悪用するため、正規の操作と見分けがつきにくく、EPPをすり抜けます。
未知のマルウェア(ゼロデイ):シグネチャが存在しないマルウェアは、パターン照合ベースの検知をそのまま回避します。
EDRが「見ている」もの——収集するデータと検知の仕組み
収集するデータの種類
EDRエージェントはエンドポイント上に常駐し、以下のデータを継続的に収集・記録します。
| データの種類 | 収集内容の例 |
|---|---|
| プロセス情報 | どのプロセスが起動したか・親プロセスは何か・コマンドライン引数 |
| ファイル操作 | ファイルの作成・変更・削除・実行 |
| ネットワーク接続 | 接続先IPアドレス・ポート・通信量 |
| レジストリ操作 | 自動起動キーへの書き込み・設定値の変更 |
| ログオン情報 | ログオン種別・アカウント名・接続元 |
これらのデータはクラウド上のEDR管理コンソールに送信され、AIや機械学習によって分析されます。
Windowsが標準で記録するイベントログとの違いは「継続性」と「相関分析」です。イベントログは個別の出来事を記録しますが、EDRは複数のデータを組み合わせて「攻撃のストーリー」として可視化します。Windowsイベントログの活用については「Windowsイベントログ重要ID一覧」を参照してください。
検知の仕組み——振る舞い検知とAIによる異常検出
EDRの検知は主に2つのアプローチを組み合わせています。
振る舞い検知:「エクスプローラーがPowerShellを起動し、Base64エンコードされたコマンドを実行した」のような、攻撃者がよく使う一連の操作パターン(TTP:戦術・技術・手順)を検知します。既知・未知を問わず、攻撃の「やり方」に着目する手法です。
MITRE ATT&CK(マイター・アタック) 実際の攻撃者が使う戦術・技術・手順を体系化したナレッジベース。EDR製品の多くがこのフレームワークに基づいて検知ルールを設計している。
AIによる異常検出:通常時の振る舞いをベースラインとして学習し、そこから逸脱した動きを異常として検出します。「普段は使わないポートへの大量通信」「深夜に突然起動した管理ツール」などを自動でフラグ立てします。
導入前に決めておくべきこと
保護対象のエンドポイントを整理する
EDRエージェントを展開する対象を洗い出します。
| 対象の種類 | 優先度 | 理由 |
|---|---|---|
| ドメインコントローラー | 最優先 | 侵害されると全ドメインが危険にさらされる |
| 管理者端末 | 高 | 特権アカウントを使う端末は攻撃者の標的になりやすい |
| ファイルサーバー | 高 | ランサムウェアの拡散起点になりやすい |
| 一般ユーザー端末 | 中 | フィッシングメールの受信など初期侵入の起点 |
運用体制を先に決める——アラートが出たら誰が動くか
EDR導入で最もよく起きる失敗が「アラートを誰も見ていない」状態です。製品を導入する前に、以下を決めてください。
決めるべき運用事項:
| 項目 | 内容 |
|---|---|
| アラートの一次対応者 | 誰が最初にアラートを確認するか |
| 対応の優先度基準 | 重大度「高」「中」「低」それぞれの対応時間 |
| エスカレーション先 | 自社対応が難しい場合の外部委託先(MDRサービスなど) |
| 誤検知の処理ルール | 正常な操作を誤検知した場合の除外設定フロー |
MDR(Managed Detection and Response) EDRの監視・対応業務を外部のセキュリティ専門事業者に委託するサービス。24時間365日の監視体制を自社で持てない中小規模の組織に有効。
主要製品の比較——選定の視点
現場でよく挙がる主要製品の特徴を整理します。
| 製品 | 特徴 | 向いている環境 |
|---|---|---|
| Microsoft Defender for Endpoint | Microsoft 365と統合・既存ライセンスで利用可能な場合あり | Microsoft環境が中心の組織 |
| CrowdStrike Falcon | クラウドネイティブ・軽量エージェント・検知精度が高い | 規模を問わず幅広く採用 |
| SentinelOne | AI検知に強み・自律対応(自動隔離)機能が充実 | 運用リソースが限られる組織 |
製品選定の前に「自社の運用体制でアラートを処理できるか」を先に評価してください。高機能な製品を導入しても、アラートを処理する人員がいなければ意味がありません。
EDR導入後の運用——アラート対応の基本フロー
EDRからアラートが発生したときの基本的な対応フローは以下の通りです。
① トリアージ(優先度判定):アラートの重大度・端末・アカウントを確認し、即時対応が必要かどうかを判断します。
② 調査(正常か攻撃か):EDRのタイムライン機能を使い、アラートの前後で何が起きていたかを確認します。正規ソフトウェアの誤検知か、実際の攻撃かを判断します。
③ 対応(隔離・封じ込め):攻撃と判断した場合、EDRのコンソールから対象端末をネットワーク隔離します。多くのEDR製品はコンソールから1クリックで隔離できます。
④ 報告・記録:対応内容・タイムライン・影響範囲を記録します。同様のインシデントが再発した場合の参照情報になります。
インシデント対応の全体フローについては「セキュリティインシデント対応入門」を参照してください。
よくある失敗パターン——導入しただけで終わる現場
① アラートを誰も見ていない
EDRを導入したものの、アラートの通知先・対応者が決まっておらず、検知しても誰も気づかない状態です。製品の導入よりも運用体制の設計が先です。導入前に「アラートが出たら誰が何をするか」を必ず決めてください。
② 誤検知の放置でアラート疲れが起きた
初期設定のまま運用すると誤検知が多発し、「どうせ誤検知だろう」という心理的な慣れが生じます。導入後2〜4週間は誤検知の傾向を分析し、正常な操作の除外設定(ホワイトリスト)を丁寧に整備してください。
③ エージェントを展開したが設定が甘い
エージェントをインストールしただけで、検知ポリシーがデフォルトのまま・収集データが最小限の設定になっているケースです。導入後に検知ルールと収集設定を見直し、自社環境に合わせたチューニングを行ってください。
④ DCやサーバーにエージェントを入れていない
「まず端末から」と始めて、ドメインコントローラーやファイルサーバーへの展開が後回しになるケースです。攻撃者が最初に狙うのはサーバー側です。優先度を間違えないようにしてください。
実務チェックリスト——EDR導入・運用の確認ポイント
導入前の準備
- [ ] 保護対象のエンドポイント一覧を作成したか
- [ ] アラートの一次対応者・エスカレーション先を決めたか
- [ ] 対応の優先度基準(重大度別の対応時間)を決めたか
- [ ] 自社運用か外部委託(MDR)かの方針を決めたか
導入・展開
- [ ] DCとファイルサーバーへの展開を優先したか
- [ ] エージェントの展開状況を管理台帳で把握しているか
- [ ] 検知ポリシーが自社環境に合わせてチューニングされているか
運用・監視
- [ ] アラートの通知先(メール・Slackなど)が設定されているか
- [ ] 誤検知の除外設定(ホワイトリスト)を整備しているか
- [ ] アラート対応の記録・振り返りの運用があるか
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。自社の環境でEDRが導入されている場合、「アラートが出たら誰が対応するか」を確認してください。担当者が決まっていなければ、今日中に決めてください。
EDRはアラートを検知して終わりではなく、そのアラートに対応する人と手順があって初めて機能します。製品の性能より先に運用体制を設計することが、導入を成功させる最大のポイントです。
若手エンジニアが最初に身につけるべきセキュリティの全体像については「若手インフラエンジニアが最初に身につけるべきセキュリティ知識10選」を参照してください。
あわせてご覧ください
コメント