EDRって何？これまでのセキュリティー製品と何が違うの？

EDR = Endpoint Detection and Response の略。エンドポイントを監視し、エンドポイントでの不審な挙動や痕跡の検出とインシデント検知後の調査・封じ込めなどの対応 を行う技術のことを意味します。

攻撃者の手法は年々高度化・複雑化しており、ターゲットの手の内を学習しながら、日々攻撃の手口を進化させています。
その結果、従来のエンドポイントセキュリティー製品のパターンファイルでは検知できない、すり抜けるマルウェアを発端とした攻撃や脆弱性を突いた攻撃により、大規模情報漏えい、システムの破壊、ランサムウェアの感染によるデータ損失 など多くの企業で甚大な被害が出ています。

従来のセキュリティー製品の目的はエンドポイントやゲートウェイにおいて「マルウェアの感染から防御すること」ですが、EDR製品は「不正な挙動を検知し、感染後の対応をスピードアップさせること」を目的としており、役割が異なります。
前述の通り、攻撃の数も増え、悪質化している現代において、企業が攻撃を受ける危険性は増大しています。
今求められているのは、できる限り侵入を防ぐ手だてを講じつつ、同時に「100％侵入を防ぐことはあり得ない」という観点で、侵害される可能性をも踏まえた対策です。

シマンテックのEDR製品

シマンテックでは Symantec Endpoint Detection and Response （旧製品名：ATP：Advanced Threat Protection）にてこのEDR機能を提供しています。
Symantec EDR はエンドポイントセキュリティー「Symantec Endpoint Security（SEP）」と統合された1つのソフトウェアとして提供されます。
SEPの多層防御で侵入を防ぎ、守るべきところはしっかり守ることで無用なアラートを削減すると同時に、仮にその防御がすり抜けられた場合の検知と、端末切断・プロセス停止といった「対応」までを、1つの管理コンソール上で操作できるのが特徴です。

Symantec EDR でできること

① シマンテックが持つ世界最大規模のサイバーインテリジェンスネットワーク（GIN）から収集した測定データと、お客様のコンテキストを組み合わせ、エンドポイント、ネットワーク、メールの脅威を早期に発見・検出します。

② シマンテック独自の高度な相関分析テクノロジーで対処すべきインシデントを特定し、何が最重要事項であるか、対応の優先順位付けをします。影響範囲と対応の要否を自動で可視化し、管理者の運用負荷を低減します。

③ 検知された脅威情報はコンソールから選択肢をクリックするだけで、対象エンドポイントを遮断するなどの対処が可能。簡単な操作で、対処にかかる時間はわずか数分。検知・対応・修復までの流れが圧倒的に短縮されます。

バージョン3.0から搭載された「フライトデータレコーダー」機能ではエンドポイントで発生したイベント情報をリアルタイムで収集しておき、インシデントが発生した場合に、その端末でいったい何が起こっていたのか、何が引き金になったのか、原因特定のためのフォレンジック作業を支援します。

最新バージョン4.0 では AI主導型の検知エンジンによる分析と自動化の機能が追加され、攻撃の発見・対応能力が更に向上しています。

Symantec Endpoint Detection and Response は日々のインシデント対策をより詳細かつスピーディに行うことができ、管理者の管理負荷も低減することができます。
セキュリティーを強化したい企業さまはぜひご検討ください。