近年ネットワークセキュリティの世界でクローズアップしてきた言葉に「EDR」という言葉があります。
多分まだ聞いたことがない方のほうが多いと思いますが、「EDR」とは「Endpoint Detection and Response(エンドポイント・ディテクション・アンド・レスポンス)」の略です。エンドポイントとは「端末」つまり、私たちが使っているパソコンやスマートフォンなどのこと。そのマルウェア対策において、注目を浴びてきているキーワードです。

なんか難しい話になりそう・・ ̄\(-_-)/ ̄
・・・ということで、今回はこのEDRについて、思いっきり噛み砕いて簡単にご紹介しましょう。

ウイルスやトロイの木馬などといった悪者(マルウェア)が、あなたのパソコンに入りこもうと狙っています。今までのウイルス対策ソフトは、悪い奴を見つけるとその手配書を作って配り、その手配書と人相を照合して悪者かどうかを見極めて悪い奴を通さないようにする、という仕組みでした。しかし最近の悪い奴は簡単に変装できる道具を持っているので、手配書通りの顔で侵入してくるケースはたった数パーセント程度で、大半が手配書通りの顔では来てくれないのです。(´Д`)

そうなると、従来のウイルス対策ソフトでの対応はもはや限界!
悪知恵の働く変装名人の悪者の侵入を防ぐことは非常に難しい状況になってきているのです。
これが、マルウェア被害が甚大になってしまう昨今の状況です。

そこで次世代の対策ソフトは、従来の「悪者の侵入(感染)を防ぐ」のではなく、「悪者が侵入した後に、そいつがパソコン内で暴れたり悪さをしようとするのを見つけ、封じ込めたりする」という別の対応策で、被害をなくしていこう、という考え方で開発されるようになってきたのです。それが「EDR」です。
以前パスクリ通信で「サイバーレジリエンス」
という考え方を取り上げましたが、その考え方に則った対策技術が「EDR」になります。

現時点では、個人の端末よりも標的型攻撃のターゲットになりやすい企業内の端末やサーバを対象としたソフトではありますが、知っておくことは大事なことです。

具体的にはEDRソフトは、端末の様々な情報、たとえばインストールされているソフトとかシステムのログとか、起動プロセスとかを集めます。そして挙動不審な動きとか怪しいファイルとか、そういうものの発生や動きを察知して、侵入経路や不正ファイル等の特定、外部への接続行為や接続先の特定、漏洩などの被害状況の特定などをするもので、「何が起こっているのかという状況を把握する」という一番大事な点をクリアにしていくソフトです。なぜならばこの点はクリアにならないと、どう対策していいかが決められないからです。
そしてこの解析結果を受けて、それ応じた対策をすばやく行っていくことで、悪い奴の好き勝手にはさせない!という筋書きです。

端末内を解析する役割を持つEDRソフトは、現時点では使いこなすのに高度な知識や技術が必要になったりするので、万人向けのものではありませんが、近い将来にはもっと個人利用できるところまで降りてきて、「PCに詳しくないユーザーが、その働きを全く意識しないでも、水面下で働き、悪者を封じ込めてくれる」ということが可能になってくれるでしょう。そうなるとマルウェアという悪者による被害が大幅に減少していく可能性も十分にあり、悪者対策の切り札になってくれる期待大と言えるのです。

いずれ皆さんの耳にも「EDR」というキーワードが当たり前のように聞こえる時代が来ると思うので、ぜひ覚えておいてくださいね。