Overview
EDR(Endpoint Detection and Response:エンドポイント検知・対応)とは、PCやサーバーなどのエンドポイント端末における脅威をリアルタイムで検知し、調査・対応を行うセキュリティソリューションです。従来のアンチウイルスソフトがシグネチャベースでマルウェアを検出するのに対し、EDRは端末上の挙動を継続的に監視・記録し、不審なアクティビティを検知することで、未知の脅威やファイルレスマルウェアにも対応できます。
EDRは、エンドポイント上で動作するエージェントがプロセスの起動・ファイル操作・ネットワーク通信・レジストリ変更などのイベントを収集し、クラウドまたはオンプレミスの管理サーバーに送信します。管理コンソールではこれらのテレメトリデータを分析し、MITRE ATT&CKフレームワークに基づく攻撃手法の分類や、脅威ハンティングのための高度な検索機能を提供します。
EDRの最大の価値は、侵害の「予防」だけでなく「検知後の対応(レスポンス)」を重視する点にあります。感染端末のネットワーク隔離、リモートからのフォレンジック調査、マルウェアの封じ込め・駆除まで、インシデント対応の一連のプロセスを単一のプラットフォームで実行できます。これにより、SOC(Security Operations Center)チームの対応時間を大幅に短縮し、被害の拡大を最小限に抑えることが可能です。
Details
EDRの主要機能
EDRは、エンドポイントセキュリティにおいて以下の主要な機能を提供します。
- テレメトリ収集:プロセスの実行、ファイルのCRUD操作、ネットワーク接続、レジストリ変更、DLLロードなどのイベントを継続的に記録
- 脅威検知:振る舞い分析、機械学習モデル、IOC(Indicator of Compromise)マッチングによるリアルタイム検知
- インシデント調査:プロセスツリーの可視化、タイムライン分析、MITRE ATT&CKマッピングによる攻撃全容の把握
- 対応・修復:端末のネットワーク隔離、プロセス強制終了、ファイル削除・隔離、レジストリ復元などのリモート対応
- 脅威ハンティング:クエリ言語を使用したプロアクティブな脅威探索と、カスタム検知ルールの作成
検知の仕組み:シグネチャからビヘイビアへ
従来のアンチウイルスは、既知のマルウェアのハッシュ値やバイトパターン(シグネチャ)と照合して検知を行いますが、EDRは端末上の「振る舞い」を分析する点が根本的に異なります。例えば、PowerShellがBase64エンコードされたコマンドを実行し、その後で外部サーバーへの通信が発生した場合、個々の操作は正規のものでも、その一連の振る舞いパターンは攻撃として検知されます。
最新のEDRは機械学習モデルを活用し、正常な業務活動のベースラインを学習した上で、そこから逸脱する異常な活動を検知します。これにより、シグネチャが存在しないゼロデイ攻撃や、LOLBins(Living Off the Land Binaries)を悪用した攻撃にも対応できます。
テレメトリとデータ保持
EDRのテレメトリデータは、インシデント調査やフォレンジック分析において不可欠な証拠となります。主要なEDR製品は、数週間から数ヶ月分のテレメトリデータをクラウド上に保持し、遡及的な脅威ハンティングを可能にします。
ただし、大量のテレメトリデータの保存と転送にはコストがかかるため、収集するイベントの種類と保持期間のバランスが重要です。また、個人情報やプライバシーに関わるデータの収集については、各国の法規制(GDPRなど)への準拠も考慮する必要があります。
MITRE ATT&CKフレームワークとの統合
現代のEDR製品の多くは、MITRE ATT&CKフレームワークと統合されています。検知されたアラートが攻撃の戦術(Tactic)や技術(Technique)に自動的にマッピングされるため、SOCアナリストは攻撃の全体像を迅速に把握できます。例えば、「Initial Access(初期侵入)」→「Execution(実行)」→「Persistence(永続化)」→「Lateral Movement(横展開)」といった攻撃チェーンを視覚的に追跡できます。
マネージドEDR(MDR)
MDR(Managed Detection and Response)は、EDRの運用をセキュリティベンダーの専門チームが代行するサービスです。自社でSOCを運用するリソースや専門知識が不足している組織にとって、24時間365日の脅威監視と対応を外部委託できる点が大きな利点です。MDRプロバイダーは、EDRツールから収集されたテレメトリを分析し、真のインシデントとノイズを選別した上で、対応策を実行または推奨します。
Security Measures
- 01全エンドポイントへのEDRエージェント展開:PC、サーバー、仮想マシンを含むすべてのエンドポイントにEDRエージェントを導入してください。管理対象外の端末(シャドーIT)が存在するとセキュリティの死角が生まれるため、資産管理と連携して漏れなく展開しましょう。
- 02検知ポリシーとカスタムルールの最適化:組織の業務環境に合わせて検知ルールをチューニングし、誤検知(False Positive)を削減してください。正規の管理ツールやスクリプトを除外リストに追加しつつ、攻撃者が悪用しうるLOLBinsの監視は維持するバランスが重要です。
- 03テレメトリの適切な保持期間設定:インシデント発生時に遡及調査が行えるよう、テレメトリデータの保持期間を最低90日以上に設定してください。APT攻撃は長期間にわたる場合があるため、予算が許す限り長期間の保持を推奨します。
- 04自動対応(自動隔離)の段階的導入:高確度の脅威に対しては自動隔離を有効にし、対応速度を向上させてください。ただし、業務への影響を考慮し、最初は通知のみのモードで運用し、誤検知の状況を把握した上で段階的に自動対応を拡大しましょう。
- 05SOCチームとの運用プロセス構築:EDRのアラートに対するトリアージ手順、エスカレーションフロー、インシデント対応手順を明確に定義してください。アラート疲れ(Alert Fatigue)を防ぐため、重要度に応じたアラートの優先順位付けも実施しましょう。
- 06定期的な脅威ハンティングの実施:EDRのアラートだけに頼らず、プロアクティブな脅威ハンティングを定期的に実施してください。最新の脅威インテリジェンスに基づくIOCの検索や、MITRE ATT&CKの手法に基づくハンティングクエリの実行により、検知を逃れた潜在的な脅威を発見できます。
Incidents
📋 SolarWinds Orion サプライチェーン攻撃(2020年)
2020年、SolarWinds社のネットワーク管理ソフト「Orion」のアップデートにバックドアが仕込まれ、米国政府機関や大手企業を含む18,000以上の組織が影響を受けました。この攻撃は高度なAPTグループによるもので、正規のソフトウェアアップデートを経由していたため、従来のアンチウイルスでは検知が困難でした。
EDRを導入していた組織では、バックドアによる不審なDNS通信パターンや横展開の兆候を検知できたケースがありました。この事件はEDRによる振る舞い検知の重要性と、サプライチェーン攻撃に対するテレメトリ分析の有効性を示す代表的な事例です。
📋 CrowdStrike Falconアップデート障害(2024年)
2024年7月、CrowdStrike社のEDR製品「Falcon」のセンサー更新プログラムの不具合により、世界中のWindows端末約850万台がブルースクリーン(BSOD)で起動不能に陥りました。航空会社、銀行、病院、放送局など社会インフラに甚大な影響を与え、経済的損失は数十億ドルに達しました。
この障害は、EDRエージェントがカーネルレベルで動作する特性上、不具合がOS全体を停止させるリスクがあることを浮き彫りにしました。EDR導入時にはベンダーのアップデート配信プロセスの信頼性評価や、段階的ロールアウトの重要性が再認識されました。
📋 EDRを回避するランサムウェア攻撃の増加(2023年〜)
2023年以降、ランサムウェアグループがEDRの検知を回避するための手法を高度化させています。代表的な手法として、脆弱なドライバーを悪用してEDRエージェントのプロセスを強制終了させるBYOVD(Bring Your Own Vulnerable Driver)攻撃が確認されています。AukillやTerminatorなどのツールが攻撃者間で流通しています。
また、EDRの除外設定を悪用してマルウェアを配置したり、セーフモードで起動してEDRが動作しない状態でランサムウェアを実行するケースも報告されています。これらの回避手法に対抗するため、EDRのタンパープロテクション(改ざん防止)機能の有効化と、脆弱なドライバーのブロックリスト管理が不可欠です。