応用情報技術者試験のサイバー攻撃対策:EDRとは?
EDR(Endpoint Detection and Response/エンドポイント検知と対応)とは、PCやサーバなどのエンドポイントで発生するセキュリティ脅威を常時監視・分析し、インシデントを検出・対応するセキュリティ製品・仕組みです。
近年の高度なサイバー攻撃(標的型攻撃・ゼロデイ攻撃など)に対抗する重要な対策として注目されています。
EDRの目的
- エンドポイント上の不審な動作をリアルタイムで検出
- 侵入後の活動を把握し、迅速な封じ込め・対応を可能にする
- 攻撃の痕跡(IOC)や行動の連鎖(TTP)を可視化して分析
EDRの主な機能
- プロセス・ファイル・通信の監視: 不審な挙動を検知
- アラート通知: 異常を検知した際に即座に警告
- インシデントの可視化: 攻撃の流れや影響範囲の分析支援
- 隔離・駆除機能: 感染端末のネットワークからの切り離し
- ログの保存と分析: 証拠保持と原因調査
EDRが対応する脅威
- マルウェア(既知・未知)
- 標的型攻撃(ファイルレス攻撃など)
- 内部不正・不審なアクセス
- ゼロデイ攻撃(未知の脆弱性を突く攻撃)
EDRと従来のアンチウイルスの違い
| 比較項目 | アンチウイルス | EDR |
| 検知方法 | 定義ファイルによる照合 | 挙動・パターン分析 |
| 主な目的 | 感染の防止 | 侵入後の検出と対応 |
| 対応範囲 | 既知のマルウェア中心 | 未知の脅威・不審な動作 |
EDRと他のセキュリティ製品との関係
- EPP(Endpoint Protection Platform): 従来のウイルス対策ソフト
- EDR: EPPでは検知できない高度な攻撃を補完・対応
- XDR: EDRを含み、ネットワークやメールなど広範な範囲を統合的に監視
応用情報技術者試験での出題ポイント
- EDRの目的と基本機能(検知・可視化・対応)
- アンチウイルスやEPPとの違い
- SOCやCSIRTと連携して使われるケース
- XDRやSIEMとの関係
学習のコツ
- EDR=「感染してしまった後に備える守り」として理解する
- 「ウイルス定義ファイルでは見つけられない脅威」に注目
- 攻撃の痕跡(フォレンジックス)との関係を整理する
まとめ
- EDR: エンドポイントにおける高度な脅威の検知・分析・対応を行う仕組み
- 従来の防御製品では見逃されがちな攻撃に対応
- 試験では、役割・機能・他製品との関係の理解が重要
EDRは「侵入されることを前提とした対策」であり、近年の高度なサイバー攻撃に対応するために不可欠なセキュリティ技術です。
応用情報技術者試験では、EDRの基本概念や導入意義、関連技術との違いを明確にしておきましょう。
