EDR は Endpoint Detection and Response の略です。
PC やサーバーなどの端末で起きる不審な挙動を検知し、調査や対応をしやすくするための仕組みです。
ウイルス対策ソフトと近いものだと思われがちですが、EDR は「侵入されたあとも含めて追跡し、対応する」ことに強みがあります。
そのため、VPN などの入口対策と並んで、端末側の前提として語られることが多いです。
まず押さえたいポイント
- 端末上の不審な挙動を検知する
- 調査や封じ込めを支援する
- 入口対策だけでは防ぎきれない事故に備える
どんな場面で使うか
- 社給 PC の監視
- サーバーの侵害調査
- マルウェア感染時の初動対応
- リモートアクセス端末の監視
どんなふうに理解するとよいか
EDR は「端末側の見張り役」と考えると分かりやすいです。
入口対策をすり抜けたあとに、異常な挙動を追えることが大きな価値です。
押さえておきたい注意点
EDR を入れただけで完全に防げるわけではありません。
運用できる体制、アラートを見る人、封じ込め手順まで含めて考えないと効果が薄くなります。
実務で見るポイント
- 管理対象端末を漏れなく載せる
- アラートを見る体制を作る
- 隔離や調査の手順を決めておく
- VPN 接続端末にも適用する