全1474文字
EDR(Endpoint Detectionand Response)はマルウエアや不正アクセスなどの脅威を検知し、自動的に対応するセキュリティー製品の総称。パソコンなどの端末(エンドポイント)および端末がつながるネットワークを保護する。一般的には端末にインストールするEDRクライアントと、セキュリティーベンダーなどが運用するEDRサーバーで構成される。主にSaaS(Software as a Service)として提供される。
侵入されることを前提にした対策
これまで端末を守るセキュリティー製品としては、ウイルス対策ソフトやパーソナルファイアウオールといったEPP(Endpoint Protection Platform)が主流だった。EPPとは、端末に脅威が侵入するのを防ぐセキュリティー製品の総称。既知のマルウエアや攻撃の特徴を収めたシグネチャー(パターンファイル)を使って脅威を検知し、端末への侵入を防ぐ。
だが近年では未知の脅威が次々と出現し、EPPでは守り切れなくなっている。EPPは侵入を防ぐことが前提なので、侵入されるとなすすべがない。端末やネットワーク全体に被害が拡大してしまう。
そこで登場したのがEDRだ。EDRは侵入されることを前提に、被害を最小限に抑えることを目指す。
なおEDRは、EPPと相反したり競合したりする製品ではない。補完する製品である。このため各ベンダーとも、EPPと組み合わせて使うことを前提としている。脅威の侵入防御はEPPで、侵入後の被害拡大はEDRで防ぐイメージだ。
