情シスのためのEDR専門メディア|DEFENDER
MENU

専門用語辞典

ここではEDR導入を検討中の方が、知っておきたい専門用語について解説しています。間違えやすいものや、似ていても全く意味が違うものなどをご紹介。またサイバー攻撃に関する用語についても紹介しています。

EDRに関連する専門用語を解説

EDR

Endpoint Detection and Responseの略でマルウェア感染をしてしまうことを前提に、事後対策を支援するもの。水際でマルウェアの攻撃を防ぐEPPとセットで利用することにより、EPPをすり抜けたマルウェアの不審な挙動や疑わしいファイルを検知し、感染後いかに正常な状態に戻すかに重点を置いています。

EPP

Endpoint Protection Platform(エンドポイント保護プラットフォーム)のことで、マルウェアによる攻撃を水際で防ぐセキュリティ製品を指します。検知したマルウェアを駆除したり無効化する機能を有し、従来型アンチウイルスや次世代型アンチウイルス(NAGV)もEPPの中に含まれます。

NAGV

Next Generation Anti-Virus(次世代型アンチウイルス)の略で、従来のパターンマッチングだけでなくAI技術を活用して未知のマルウェアの検出を可能にするもの。過去に検出されたことがないマルウェアでも、機械学習アルゴリズムにより悪意ある振る舞いなどを検知し、システム侵入を阻止します。

XDR

Extended Detection and Responseの略でEDR機能を拡張するものです。EDRはエンドポイントを対象にしますが、XDRはそれに加えてネットワーク、データセンター、クラウドワークロードまで範囲を拡大してデータを収集し、全体を通して多様化するサイバー攻撃の検知と防止を行います。

SOC

Security Operation Centerの略で、EDR運用のための高度な専門知識・技術を持ったセキュリティチームのことです。EDRが収集したログの確認・分析、脅威検出、原因調査、復旧を行います。対応できる人材がいれば社内構築も可能ですが、運用が難しい場合はアウトソーシングサービスを利用します。

MDR

Managed Detection and Responseの略でマルウェアの検知から分析、事後の対応まで一連の流れを運用代行するアウトソーシングサービスのこと。EDRを導入して多様化するサイバー攻撃に対抗するには、高度な専門知識や技術が必要ですが、人員不足など社内で運用が難しい場合に利用されます。

マルウェア

悪意のあるソフトウェアを総称する言葉で、英語のmalicious(悪意のある)とsoftware(ソフトウェア)を組み合わせた造語です。したがってコンピュータウイルスやワーム、トロイの木馬、スパイウェア、ランサムウェアも含まれます。「犯罪」の中には殺人や窃盗などの種類がありますが、それと同様の関係です。

ランサムウェア

マルウェアの一種でランサムとは身代金のこと。システム内部に侵入して機密情報を盗むだけでなく、ロックしたりファイルを暗号化し使用不能にした上で、解除することと引き換えに身代金を要求します。近年は攻撃者が事前にシステム内に侵入して仕掛ける標的型攻撃の手法が増えており、対策が難しいため被害が拡大しています。

エンドポイント

直訳すると「端点、終点」で、コンピュータネットワークに接続するさまざまな端末や機器のことを指します。パソコンはもちろん、スマートフォンやタブレット端末、サーバー、IoTも含まれます。ルーターやネットワークゲートウェイなどは中間装置であるためCPE(顧客構内設備)とみなされ、エンドポイントには含まれません。

デジタルフォレンジック

不正アクセスやデータ改ざんなどのサイバー攻撃を受けた際に証拠や保全を行い、セキュリティを積極的に維持する考え方です。セキュリティインシデントに関連する技術として認識されていますが、“フォレンジック”は法廷を意味し、元はデジタル犯罪の法的紛争・訴訟で証拠データを法廷に提示する目的で利用されていました。

ゼロデイ攻撃

情報セキュリティ上システムに脆弱性が発見されてから対策が講じられる前に行われるサイバー攻撃のことを言います。脆弱性が発見されると開発元やベンダーから修正プログラムやパッチが提供されます。これらは速やかに適用することが求められますが、その僅かな時間を狙って攻撃をしかけるため“ゼロデイ”と呼ばれています。

CSIRT(Computer Security Incident Response Team)

セキュリティインシデントが発生した際に情報収集したり対応するチームのことで「シーサート」と読みます。SOC(Security Operation Center)と似ていますが、SOCが異常の検知や対策に重点が置かれるのに対し、CSIRTは事後の対応が中心。適切な対応をするために専門知識や高い技術力が必要なことはどちらも共通しています。

ゼロトラスト

社内と社外を分けずに情報資産にアクセスしてくるものはすべて疑い(信頼しない=ゼロトラスト)、それが正当かどうかを検証することを基本とするもの。これまではネットワークの内側と外側を分け、その境界線で対策をするのが一般的でしたが、テレワークやモバイル端末の普及で境界が曖昧になったことから生まれた考え方です。

標的型攻撃

サイバー攻撃の一種で、ターゲットや目的が明確であることが無差別型攻撃とは異なります。嫌がらせや金銭的利益を得ることが目的で、攻撃により情報流出やシステムダウンなどの被害を受けます。ターゲットの情報を調査した上で段階的に攻撃をしかけることが多く、攻撃方法もさまざまあることから対策が難しい脅威と言えます。

EDR製品を導入する際の
おすすめベンダー2選をチェック

他にも読まれている関連記事
【SOCの対応範囲別】
EDR+SOCを提供しているおすすめベンダー2選

「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供するパートナーの中でも、SOCサービスに強みのあるベンダーを紹介します。

監視から運⽤まで
まるっと任せられる
株式会社アクト
株式会社アクト
※引用元:アクト公式HP(https://act1.co.jp/cybersecurity/)
提供するのはこんなSOCサービス

24時間体制での監視・対応はもちろん、ホワイト/ブラックリスト登録や、感染影響の排除までを能動的にすべて対応。情シス側は作業報告を受けるだけで良いため、自社にリソースがない企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(能動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)
(能動的)
導⼊できるEDRは
センチネルワン
サイバーリーズン
   
アクトのEDR+SOCサービス
「セキュリモ」はこちら
アクトの情報を
もっと詳しく見る
電話で問い合わせる
自社のリソースも活用しながら運用していける
クロスポイントソリューション
株式会社
クロスポイントソリューション株式会社
※引用元:公式HP(https://cp-sol.co.jp/)
提供するのはこんなSOCサービス

日々のアラートをアナリストが精査・分析したうえで、通知。情シス側はその通知の指示やアドバイスに沿って対応するだけ。
自社のリソースをある程度活用しながら運用していきたい企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(受動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)
(推奨対応を提示)
導⼊できるEDRは
サイバーリーズン
クラウドストライク
   
クロスポイントソリューションの
公式HPでSOCの特徴を見る
クロスポイントソリューションの情報をもっと詳しく見る

【選定理由】Google検索「EDR 導入」でヒットしたベンダー40社の内、「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供している企業を調査。それぞれ以下の理由で選定しました(2023年2月15日調査時点)。
株式会社アクト:国内で唯一センチネルワンの公認IRパートナー(2023年2月時点)かつSOC運用を全般的に任せられる企業(※1)。
クロスポイントソリューション株式会社:セキュリティ運用・監視サービスを提供できるパートナーとしてのメーカー認定を持っており、なおかつ「24時間365日の監視」「アラート内容の精査」「⼀次調査+⼆次調査」の能動的な対応が唯一可能な企業。

※1参照元:センチネルワン公式HP(https://jp.sentinelone.com/press/act-co-ltd-signs-an-incident-response-partner-agreement-with-sentinelone-the-first-company-based-in-japan/)