情報セキュリティマネジメント試験 科目A 重要キーワード解説
EDR(Endpoint Detection and Response)とは、PC・サーバなどのエンドポイント(端末)の挙動を継続的に監視・記録し、不審な動きを検知して、迅速な対応(隔離・調査・復旧)を支援する仕組みです。
従来のウイルス対策ソフトが「侵入を防ぐ」ことに重きを置くのに対し、EDRは「侵入されることを前提に、侵入後の脅威をいち早く見つけて対応する」点が特徴です。未知の攻撃やファイルレス攻撃への有効な備えとされます。
| 項目 | ウイルス対策ソフト | EDR |
|---|---|---|
| 主眼 | 侵入を防ぐ(入口対策) | 侵入後の検知・対応 |
| 検出 | パターンマッチング中心 | 挙動(振る舞い)の監視・分析 |
| 対応 | 駆除・隔離 | 端末隔離・調査・原因追跡 |
ランサムウェアや標的型攻撃では、侵入後に内部で偵察・横展開が行われます。EDRがあれば、こうした不審な挙動を検知して感染端末を隔離し、暗号化や情報窃取に至る前に食い止められる可能性が高まります。