EDR（エンドポイント検知・対応）

EDR（Endpoint Detection and Response：エンドポイント検知・対応）とは、PC、サーバー、スマートフォンなどのエンドポイント（端末）における不審な挙動を継続的に監視し、脅威を検知・分析・対応するセキュリティソリューションです。従来のアンチウイルスの限界を補う、現代のエンドポイントセキュリティの中核技術です。

従来のアンチウイルスとの違い

従来のアンチウイルスソフトは、既知のマルウェアのパターン（シグネチャ）に基づいて検知する「事前防御」が中心でした。しかし、攻撃者は日々新しいマルウェアを開発しており、シグネチャベースの検知だけでは対応できません。

EDRは、未知の攻撃や侵入後の不審な動作を検知する「事後対応」に重点を置いています。マルウェアがシグネチャを回避して侵入しても、その後の不審な振る舞い（ファイルの大量暗号化、不正な通信など）を検知して対処できます。

EDRの主要機能

継続的な監視とログ収集

エンドポイント上のプロセスの実行履歴、ファイルの作成・変更・削除、ネットワーク通信、レジストリ変更などを常時記録します。これにより、インシデント発生時のフォレンジック分析が可能になります。

脅威の検知

収集したログを分析し、IOC（Indicators of Compromise：侵害の痕跡）やTTPs（Tactics, Techniques, and Procedures）に基づいて脅威を検知します。機械学習を活用した異常検知機能を持つ製品も増えています。

インシデント対応

脅威を検知した際に、管理者へのアラート通知、感染端末の自動隔離、悪意あるプロセスの停止などの対応を実行します。これにより、被害の拡大を迅速に防止できます。

脅威ハンティング

収集されたデータを用いて、セキュリティアナリストが能動的に潜在的な脅威を探索する機能です。未検知の攻撃の発見に役立ちます。

XDRへの進化

EDRの概念を拡張したXDR（Extended Detection and Response）が注目されています。XDRは、エンドポイントだけでなく、ネットワーク、クラウド、メールなど、複数のセキュリティレイヤーからのデータを統合的に分析し、より広範な可視性と相関分析を提供します。

主要なEDRベンダー

CrowdStrike、Microsoft Defender for Endpoint、SentinelOne、Carbon Black（VMware）、Cortex XDR（Palo Alto Networks）、Cybereason、Trend Micro Apex Oneなどが市場をリードしています。

ゼロトラストとの関係

EDRは、ゼロトラストアーキテクチャの実現に不可欠な技術です。エンドポイントの健全性を継続的に検証し、デバイスの信頼性を動的に評価することで、ゼロトラストの「常に検証する」原則を支えます。