EDRの導入前に確認すべき10のポイント

EDR (エンドポイントにおける検知と対応) ソリューションの市場は急速に成長しており、業界の専門家はこの傾向が今後も続くと予測しています。ガートナー社では、2025年末までに60%以上の企業が、これまでのEPP(ウイルス対策製品)に加えてEDRを組み合わせたソリューションに置き換わると予測しています[1]。

サイバー攻撃は、より頻繁で巧妙になっており、またEDRソリューションが中堅企業にとって導入しやすいツールになっていため、包括的なエンドポイントセキュリティソリューション構築のため、EDRソリューション導入のニーズが高まっています。多くのサイバーセキュリティベンダーが、EDRとEPPを組み合わせた手頃な価格のソリューションを提供しているため、EDRはもはや大企業だけのソリューションではなくなりました。

EDRの主要機能の概要と、企業がエンドポイントにおける検知と対応ソリューションを必要とする理由については、当社の記事 『企業がEDRソリューションを必要とする7つの主な理由』をご覧ください。

この記事では、EDRソリューションを導入する際に確認すべき、最も重要な10のポイントを解説します。これらのポイントは、この種のソリューションを初めて導入する場合にも、また定期的にベンチマークやリニューアルプロセスを実行する場合にも適用することができます。

1. 導入済みのセキュリティプラットフォームとの統合

どんな EDR ソリューションを検討する場合であっても、それが導入済みのセキュリティシステムとの互換性を確認することが重要です。EDRを導入することで、IT/セキュリティチームのワークロードが軽減され、チームの効率を向上させるだけでなく、効果的に機能させるためには、攻撃を軽減するためのアクションを追跡、管理、実行する他のセキュリティシステムとの統合が必要です。

特に、SIEM(セキュリティ情報イベント管理)システムのようなツールを既に使用している場合は、SEIMシステムにデータをシームレスに供給することができるよう、API統合のできるEDRソリューションを探すのが最善策です。

2. エージェント型とエージェントレス型を比較

EDR ソリューションのエージェントは、すべてのエンドポイントにインストールされるソフトウェアコンポーネントです。EDR ソリューションは、ネットワーク上にパッシブにインストールすることもできるため、厳密に言うとエージェントのインストールは必須ではありませんが、エージェントレス型の場合はエージェント型に比べて、機能が制限されます。エンドポイントにエージェントを直接インストールすることで、ユーザの活動イベントに関するより多くのデータを取り込むことができます。またエージェントは、エンドポイントが侵害された場合に、より強力に介入することが可能です。

エージェントレス型の EDRソリューションの主なメリットは、導入が迅速にできる点と、エージェントのインストールが困難なエンドポイントの監視に使用できることです。しかし、エージェントがエンドポイントに直接インストールされていないため、ソリューションの対応はさほど強固ではなく、データ収集能力も弱いことが難点です。

3. 動作環境 - 対応OS

これは、エージェントをインストールできないエンドポイントに関する話に関連しています。インストールできない理由の 1 つとして、エンドポイントで使用されている OS が EDR ソリューションに対応していないケースがあります。導入するエンドポイントの状況を確認し、EDR ソリューションを選択ください。

しかし、ほとんどのEDRソリューションにはサポートしていない OS があります。EDRプロバイダがサポートしていないOSを使用しているエンドポイントがネットワーク内にある場合は、エージェントレスEDRが良い解決策になります。

4. 動作環境 - サポート外のデバイス

対応 OS と同様に、EDR ソリューションによってはサポートされていないデバイスがあります。iOS や Android OS を搭載したスマートフォンのほとんどは EDR ツールのサポート対象外であり、IoT デバイスも対象外となる可能性が高いです。OS と同じように、ベンダーに何が対象外なのかを尋ね、該当するエンドポイントの数を確認ください。

5. クラウドのサポート

EDR ソリューションがクラウド環境をサポートしているかどうか、またどの程度サポートしているかを知ることは重要です。いくつかのEDRツールがクラウドベースであるにもかかわらず、クラウドでの運用ができない可能性があります。

エンタープライズ向けの EDR 市場の 60 % は、既にクラウドベースのソリューションとして提供されています (Gartner社: Innovation Insight for Cloud Endpoint Protection Platforms、2019年4月) が、EDRはクラウドへのインストールが困難な場合が多く、特定のクラウドアプリケーションに対して追加の保護が必要な場合もあります。

6. System updates

The threat landscape is constantly evolving as attackers strive to breach security systems using new tactics, techniques, and procedures (TTPs), so any EDR system that is not regularly updated will be vulnerable to advanced threats and quickly become obsolete. Hence, in order to better respond to threats you need an EDR solution that gets frequent updates on Indicators of Compromise (IoC).

Additionally, it is worth considering how much of your IT security team’s time will be taken up managing and installing these updates and to what extent they can be automated.

7. Scalability

82% of organizations aspire to have an all-in-one solution for their IT/Network Security needs (F-Secure 2020 B2B Market Research). This may not be possible at present, but if you are among the 82% of organizations with this aspiration it is worth speaking to your vendor finding out what options your EDR system offers for adding new components and functionality in the future.

Furthermore, you should also consider how the solution will handle any increase in traffic especially in the event of future growth and rise in the number of remote devices.

8. Impact on endpoint performance

If you’re using an EDR solution that requires an agent to be installed on your endpoints then you need to know what resources it will occupy. Does this mean you will need to invest in better hardware to keep your endpoints’ performance at a reasonable level?

A reasonable level of CPU usage for an EDR solution is around 1%, if it’s regularly exceeding that it is likely not well optimized. Memory usage can vary based on the weight of the agent but shouldn’t exceed 50mb. Your vendor should be able to show you performance data for systems similar to yours.

9. Customized threat detection models

Depending on the level of expertise you have in-house, you may want to design your own threat detection model, or at least tweak the preset one. EDR vendors will tell you that the presets are optimized for best performance, but all organizations are different and there is no default machine learning algorithm that is optimized for every possible situation.

10. Vendor support

This one really comes down to trust but there are certain indicators to look out for. What happens if your EDR solution is compromised? Will the vendor charge you for incident response services? There is a clear possibility for a conflict of interest here.

Make sure you understand in advance what level of support is available to you and what the expertise level of your account manager is. If you’re using a managed service provider they are often in a good position to evaluate the relative levels of support available from different vendors, although bear in mind any incentives that may be present on their side of the transaction. Again this really comes down trust between all parties being the most important factor.

We hope this article proves useful to you in your hunt for the best EDR solution for your organization. And no matter which EDR solution you end up choosing, make sure it's tailored towards your organization’s needs.

In case you want to learn about our EDR solution, feel free to download the solution brief. And, if you would like to test our solution in a live environment, sign up for a commitment free 30-day trial.

Reference
[1] Gartner, Competitive Landscape: Endpoint Protection Platforms, 18 Feb 2021.