・イゥ`・ ・ケ・・テ・ネ

EDREndpoint Detection and Response

EDRとは、コンピュータなどのセキュリティ対策システムの一種で、端末の処理を常時監視して不審な挙動をいち早く検知し、記録を取って管理者に通報するもの。

 

情報システムのネットワーク末端(エンドポイント)に存在するパソコンサーバモバイル端末などに導入し、システム上に常に常駐してアプリケーションの振る舞いや内外のデータ送受信、システムへ加えられた変更などを監視する。

セキュリティ上問題のある行為や通常の利用状況から大きく外れる不審な挙動を検知すると、マルウェア感染や攻撃者による遠隔操作などを疑い、動作ログなどの記録と共にシステム管理者に通知を行う。管理者はEDRから通報をもとに当該端末の隔離や周囲の被害状況の確認などの対処を行うことができる。

従来のセキュリティ対策では、インターネット境界にファイアウォール侵入検知・防止システム(IDS/IPS)などを設置して脅威を水際で防ぐ「境界防御」が重視されてきたが、リモートモバイルクラウドなどの普及で境界が流動化し、標的型攻撃で乗っ取られた内部の端末から攻撃が行われるといった情勢の変化に対処しきれなくなっていた。

EDRは攻撃を受けることを前提に、組織としての被害を最小限に抑える「エンドポイントセキュリティ」(endpoint security)の考え方に基づく製品で、内部の端末同士でも互いに無条件に信用しない「ゼロトラスト」の実現に貢献する。エンドポイントにおけるセキュリティ対策としてはEDR以外にも、端末へのマルウェア感染防止や検知、駆除を行う「EPP」(Endpoint Protection Platform)がある。

他の辞典による解説 (外部サイト)