EDR
Endpoint Detection and Response
IT基礎解説
パソコンやサーバーへの不審な操作をリアルタイムで検知・記録するセキュリティツール。ウイルス対策ソフトより高度な監視が可能だが、ツールを入れるだけでは運用担当者の設定・確認が不可欠。
さらに詳しく解説
EDRとは、会社のパソコンやサーバーで起きている操作をリアルタイムで監視し、不審な動きを即座に検知・記録するセキュリティツールです。従来のウイルス対策ソフトが「既知のウイルスをブロックする」門番の役割だとすれば、EDRは「社内で何が起きているかを常に録画・分析する監視カメラ」に例えられます。ファイルの操作履歴、外部への通信、プログラムの起動状況などを細かく記録し、怪しい兆候があれば担当者にアラートを送ります。
たとえば、従業員のパソコンがランサムウェアに感染し始めた場合、EDRは通常とは異なるファイル暗号化の動きを検知して自動的にそのパソコンをネットワークから切り離し、被害の拡大を防ぐことができます。また、不正アクセスが発生した際には「いつ・どこから・何が操作されたか」を追跡できるため、原因究明と再発防止策の立案にも役立ちます。
ただし、EDRを導入するだけでは十分ではありません。アラートが出ても適切に対応できる運用担当者の確保や、定期的な設定見直しが不可欠です。ツールを入れて安心するのではなく、「検知した後に誰が何をするか」という運用体制をあわせて整えることが、EDR導入の最大のポイントです。