エンドポイント検出および対応 (EDR) とは何ですか?

エンドポイント検出と対応 (EDR) は、エンドポイント保護に対する統合された階層化されたアプローチであり、リアルタイムの継続的な監視とエンドポイント データ分析をルールベースの自動応答と組み合わせます。

無償評価版 デモのスケジュール

エンドポイント Detection and Responseとは

EDRセキュリティの重要性

リモートワークが一般的になるにつれて、強力なエンドポイントセキュリティは、あらゆる組織のサイバーセキュリティ戦略においてますます重要な要素となっています。 効果的なEDRセキュリティソリューションの導入は、企業とリモートワーカーの両方をサイバー脅威から保護するために不可欠です。

EDRは、検知ベースの事後対応型のサイバー防御を超えるように設計されています。 代わりに、セキュリティアナリストが脅威をプロアクティブに特定し、組織を保護するために必要なツールを提供します。 EDRは、組織のサイバーセキュリティリスク管理能力を向上させる、次のような多くの機能を提供します。

  • 視認性の向上: EDRセキュリティソリューションは、継続的なデータ収集と分析を行い、一元化された単一のシステムにレポートします。 これにより、セキュリティチームは単一のコンソールからネットワークのエンドポイントの状態を完全に可視化できます。
  • 迅速な調査: EDRソリューションは、データの収集と処理、および特定の対応アクティビティを自動化するように設計されています。 これにより、セキュリティチームは潜在的なセキュリティインシデントに関するコンテキストを迅速に取得し、それを修復するための手順を迅速に講じることができます。
  • 修復の自動化: EDRソリューションは、事前定義されたルールに基づいて、特定のインシデント対応アクティビティを自動的に実行できます。 これにより、特定のインシデントをブロックまたは迅速に修復し、セキュリティアナリストの負荷を軽減できます。
  • コンテキスト化された脅威ハンティング: EDRソリューションの継続的なデータ収集と分析により、エンドポイントのステータスを詳細に可視化できます。 これにより、脅威ハンターは既存の感染の潜在的な兆候を特定して調査することができます。

EDR と EPP

エンドポイント Detection and Response (EDR) と エンドポイント保護プラットフォーム (EPP) は、目的は似ていますが、目的は異なります。 EPP は、悪意のあるファイルを識別し、潜在的に悪意のあるアクティビティを検出し、インシデントの調査と対応のためのツールを提供することで、デバイス レベルの保護を提供するように設計されています。

EPPの予防的な性質は、プロアクティブなEDRを補完します。 EPPは防御の最前線として機能し、組織が展開するセキュリティソリューションによって検出される可能性のある攻撃をフィルタリングします。 EDRは第2の保護レイヤーとして機能し、セキュリティアナリストが脅威ハンティングを実行し、エンドポイントに対するより微妙な脅威を特定できるようにします。

効果的なエンドポイント防御には、EDRとEPPの両方の機能を統合し、組織のセキュリティチームを圧倒することなくサイバー脅威からの保護を提供するソリューションが必要です。

EDRソリューションの主要コンポーネント

EDRセキュリティソリューションは、その名前が示すように、組織のエンドポイントでのサイバー脅威の検出と対応の両方をサポートする必要があります。 セキュリティアナリストがサイバー脅威を効果的かつプロアクティブに検出できるようにするには、EDRソリューションに次のコンポーネントが必要です。

  • インシデントのトリアージフロー: セキュリティチームは通常、アラートに圧倒され、その大部分は誤検知です。 EDRは、潜在的に疑わしいイベントや悪意のあるイベントを自動的にトリアージし、セキュリティアナリストが調査に優先順位を付けることができるようにする必要があります。
  • 脅威ハンティング: すべてのセキュリティインシデントが組織のセキュリティソリューションによってブロックまたは検出されるわけではありません。 EDRは、セキュリティアナリストが潜在的な侵入をプロアクティブに検索できるように、脅威ハンティングアクティビティをサポートする必要があります。
  • データの集約とエンリッチメント : コンテキストは、真の脅威と誤検知を正しく区別するために不可欠です。 EDRセキュリティソリューションでは、潜在的な脅威について十分な情報に基づいた意思決定を行うために、利用可能なデータをできるだけ多く使用する必要があります。

脅威が特定されたら、セキュリティアナリストは脅威の修復に迅速に移行できる必要があります。 これには、次の機能が必要です。

  • 統合された応答: コンテキストの切り替えは、セキュリティインシデントに迅速かつ効果的に対応するアナリストの能力を低下させます。 アナリストは、関連する証拠を確認した後、セキュリティ インシデントに対応するためのアクションをすぐに実行できる必要があります。
  • 複数回答オプション: サイバー脅威への適切な対応は、さまざまな要因によって異なります。 EDRセキュリティソリューションは、特定の感染の根絶や隔離など、複数の対応オプションをアナリストに提供する必要があります。

EDRセキュリティがこれまで以上に重要な理由

エンドポイント セキュリティ は、組織のサイバーセキュリティ戦略において常に重要な部分を占めています。 ネットワークベースの防御は、サイバー攻撃の大部分をブロックするのに効果的ですが、すり抜けるものもあれば、(リムーバブルメディアによって運ばれるマルウェアなど)これらの防御を完全に回避できるものもあります。 エンドポイントベースの防御ソリューションにより、組織は多層防御を実装し、これらの脅威を特定して対応する可能性を高めることができます。

しかし、 組織がリモートワークをサポートするようになるにつれて、強力なエンドポイント保護の重要性が高まっています。 在宅勤務の従業員は、オンサイトワーカーと同程度にサイバー脅威から保護されていない可能性があり、個人のデバイスや最新のアップデートやセキュリティパッチが適用されていないデバイスを使用している可能性があります。 さらに、よりカジュアルな環境で働く従業員は、サイバーセキュリティについてもよりカジュアルになる可能性があります。

これらすべての要因により、組織とその従業員は追加のサイバーセキュリティリスクにさらされます。 そのため、従業員を感染から守り、サイバー犯罪者がテレワーカーのコンピューターを足がかりにして企業ネットワークを攻撃するのを防ぐことができるため、強力なエンドポイントセキュリティが不可欠です。

Check Point’s advanced endpoint protection solutionis a comprehensive security solution for organizations operating in a new “work from home” reality with remote employees. It provides protection against the most imminent threats to the endpoints with instant and full remediation, even in offline mode, including ransomware and other malware. To see how Check Point can help to protect your remote workforce from cyber threats, schedule a demo to see Check Point Endpoint Security in action.