EDRとは？

詳細解説

EDR（Endpoint Detection and Response）は、PC・サーバー・スマートフォンなどのエンドポイントにエージェントをインストールし、プロセスの起動・ファイル操作・ネットワーク通信・レジストリ変更などの挙動をリアルタイムで収集・分析して、既知・未知のマルウェアや攻撃者の不審な活動を検知・対応するセキュリティソリューションです。従来のアンチウイルスソフト（AV）がマルウェアのシグネチャ（既知のパターン）との照合による検知が主体であったのに対し、EDRは行動分析・機械学習・脅威インテリジェンスを組み合わせ、シグネチャなしでゼロデイ攻撃や未知の脅威（ファイルレスマルウェアなど）も検知できます。EDRの主要機能はリアルタイム監視・アラート・インシデント調査（タイムライン分析・攻撃経路の可視化）・自動対応（感染端末の隔離・プロセス停止）・フォレンジック（証拠収集）です。代表的な製品はCrowdStrike Falcon・SentinelOne・Microsoft Defender for Endpoint・Carbon Blackです。XDR（Extended Detection and Response）はEDRをネットワーク・クラウド・メールにまで拡張した次世代概念です。ITパスポート試験では「EDRの役割」「従来のアンチウイルスとの違い」「エンドポイントセキュリティの重要性」が出題されます。

ITパスポートでの出題ポイント

• 1エンドポイントの挙動をリアルタイム監視・検知・対応するソリューション
• 2従来のAVはシグネチャ照合、EDRは行動分析で未知の脅威も検知
• 3感染端末の自動隔離・プロセス停止などの対応機能も持つ
• 4XDRはEDRをネットワーク・クラウドに拡張した次世代概念

関連用語