はじめに

これまでのセキュリティ講座では、「Microsoft Defenderだけで十分か？」（第1回）、「エンドポイントセキュリティ製品を選ぶ視点」（第2回）について取り上げました。今回はその続編として、近年注目を集める EDR（Endpoint Detection & Response） や XDR（Extended Detection & Response） について、従来型のウイルス対策との違いや導入のポイントを解説します。

従来型アンチウイルスの限界

従来のウイルス対策ソフトは、シグネチャ（既知のウイルスの特徴ファイル）をもとに不正プログラムを検知・削除する仕組みが中心でした。これにより多くのマルウェアを防御できましたが、近年のサイバー攻撃はより巧妙化しています。

・ファイルレス攻撃：不正なプログラムをファイルとして保存せず、OSの正規機能を悪用する

・ゼロデイ攻撃：未知の脆弱性を突くため、シグネチャが存在しない段階で感染する

・標的型攻撃：特定の企業を狙い、メール・クラウド・VPNなど複数の経路を組み合わせる

つまり「ウイルスを見つけて削除する」だけでは不十分であり、侵入されることを前提に、挙動を監視し、被害を最小限に抑える仕組みが求められるようになりました。

EDR（Endpoint Detection & Response）とは

EDRは、PCやサーバーといったエンドポイントの挙動を常に監視し、異常があれば検知・分析・対応する仕組みです。

主な機能

・振る舞い検知：未知のマルウェアでも、不自然なプロセス実行や通信を検出

・端末隔離：感染したPCを即座にネットワークから切り離し、被害拡大を防止

・攻撃経路の可視化：どのメールから侵入したか、どのサーバーにアクセスしたかを追跡

メリット

・ゼロデイ攻撃やファイルレス攻撃への対応力が高い

・感染後の調査や復旧に役立つログが蓄積される

・インシデント対応を迅速に行える

課題

・アラートが大量に発生し、運用担当者の負担が大きい

・適切に運用できなければ“検知しただけで終わる”可能性がある

XDR（Extended Detection & Response）とは

EDRをさらに拡張した仕組みがXDRです。EDRが端末単体にフォーカスするのに対し、XDRはネットワーク、クラウド、メール、ID管理など複数の領域を統合的に監視します。

メリット

・さまざまなセキュリティ製品のログを集約し、相関分析が可能

・個別では見逃される脅威も、全体像を把握することで検知できる

・インシデント対応を一元的に管理できる

課題

・導入コストが比較的高い

・運用には専門知識やSOC（セキュリティ運用センター）の連携が必要

・統合基盤の整備に時間がかかる

導入を検討する際のポイント

EDR/XDRの導入を考える際は、以下の観点が重要です。

規模とリソースに合わせる

・中小企業：クラウド型EDRで運用負担を軽減

・大企業：XDR＋SOCで広範囲を統合的に監視

インシデント対応体制

・自社に専門人材がいない場合は、MDR（Managed Detection & Response）など外部委託も検討

既存環境との組み合わせ

・Microsoft Defender for Endpointと統合運用するケースも多い

活用イメージ

例えば、ある企業でランサムウェアが仕掛けられたケースを考えてみましょう。

1-攻撃者がフィッシングメールを送信

2-社員が添付ファイルを開き、マルウェアが動作

3-従来のアンチウイルスでは検知できなかったが、EDRが不審な暗号化処理を検出

4-端末を自動隔離し、SOCが調査

5-攻撃経路を特定し、他の端末の感染有無を確認

6-早期に封じ込め、業務停止を最小限に抑制

このようにEDR/XDRは「被害をゼロにする」のではなく、「被害を最小限に抑え、迅速に復旧する」点で大きな価値があります。

まとめ

従来のアンチウイルスが「侵入を防ぐ」ことに重点を置いていたのに対し、EDRやXDRは「侵入されることを前提に、検知・対応・復旧までを行う」仕組みです。

企業にとっては、どの製品を選ぶか以上に、自社の体制に合った運用方法をどう確立するかが鍵となります。

次回（第4回）は、EDR/XDRを支える SOC（セキュリティ運用センター）やMDR（運用委託サービス） について、実際の導入・運用の現実を解説します。