脅威の巧妙化により侵入前提の対策が求められるようになった今、注目度が高まっているEDR(Endpoint Detection and Response)。その説明としてよくいわれるのが、EDRは従来のEPP(Endpoint Protection Platform)では見つけられなかった未知の脅威を検知できる、というものだ。だが、トレンドマイクロのEPPには次世代アンチウイルス(NGAV)機能が搭載されており、実際は未知の脅威の検出も可能である。
では、EDRの必要性はどこにあるのか。未知の脅威が検出できても、侵入経路や根本原因を特定できないと、同じ脅威に再度感染する危険性がある。そのため、EDRによりインシデント対応の流れを可視化して対応することが必要なのだ。とはいえ、EDRだけあれば大丈夫というものではない。EDRだけでは運用負荷が高いため、EPPと併用することで、より効率的なインシデント対応が可能になるだろう。
またEDRを導入する際は、自社で運用を行うのか、可視化の範囲はエンドポイントだけで良いのか、などの点も検討する必要がある。本資料では、EDRが必要な背景から、EPPとの関係性、EDR導入時に考慮すべき4つのポイントまで解説しているので、参考にしてほしい。