ここ数年、企業におけるセキュリティ対策の一つとして宣伝されているのがEDR(Endpoint Detection and Response)になります。最近はXDR(eXtended Detection and Response)という形態に移行しつつありますが基本的にはやっていることは一緒です。EDRは端末内での挙動からプログラムの不正な動作を検知して通知するのに対して、XDRはファイアウォール等のネットワーク機器と連携して検知して通知するという違いがあります。これに対して、一般的なウイルス対策ソフトはEPP(Endpoint Protection Platform)と称されます。
さて、中小企業でのセキュリティ対策としてEDR(XDR)を導入するのはメリットがあるのでしょうか?
そもそもEDR(XDR)は通知を元に人間が解析して対応する必要があります。そして、その解析には高度な知識が必要となります。もちろん、EDR(XDR)には解析ツールが用意はされているのですが、そこで表示される内容を正しく理解できないと正しく対応することはできません。そのような事ができる高度人材を採用できるのかという問題が中小企業には重くのしかかります。人件費もそれなりに掛かりますし、そもそも、そういった高度人材を面接等で見分ける知識が採用する側にあるのかという問題もあります。尚且つ、深夜だろうが早朝だろうが迅速に対応することが求められます。
そのような、高度人材による24時間365日の運用(適切な運用)ができなければEDR(XDR)はEPPと何ら変わらないものになってしまいます。当然、機能が上のEDR(XDR)の方が高価ですから、ある意味EPPとの差額はドブに捨てたも同然になってしまいます。なので、適切な運用ができそうに無い場合であれば、弊社としてはEPPの一つであるNGAV(次世代型アンチウイルス)の導入、もしくは、MDR(Managed Detection and Response)をお勧めします。EDR(XDR)はお勧めしません。どちらを選ぶのかは、どこまでやるのか?どこまで出せるか?という話になるので経営者マターの話になります。
NGAVとは従来型アンチウイルスがパターンマッチングを基本とするため検知できなかった新型ウイルスや標的型ウイルスを、AIで分析もしくは振る舞いを分析して検知するウイルス対策製品になります。当然、検知できるものが大幅に増えるため従来型に比べて安心感が大幅に増しますし、製品によっては不正通信の検知と遮断もしてくれるため万一の際の情報漏洩もある程度防ぐことができたりします。
MDRとはその名の通りEDR(XDR)の運用をメーカーに丸投げできるタイプの製品になります。メーカーにいる専門家達がグローバルで24時間365日体制を構築し、EDR(XDR)での検知に対して迅速に対応を実施してくれるので企業側で運用を考える必要が激減します。但し、対応結果を受け取った後でどうするのかという運用が残りますので運用を全く考えなくて良いわけではありません。
製品としての費用面(運用に掛かる人件費を除く)では
NGAV<EDR(XDR)<MDR
となり、性能面では
NGAV>EDR(XDR)=MDR
となるので「そこそこの安心を低価格で」となればNGAVになりますし「金はいくらでも出すから徹底的に安心を求めたい」のならばMDRという事になります。また、成長途中の企業であれば、先ずはNGAVを導入し、ある程度成長して高度人材を複数人採用できるようになったらEDR(XDR)という段階的な導入も検討材料の一つにはなるかと思います。
ここからは弊社の宣伝も含まれてくるのですが、弊社でもNGAV、XDR、MDRを取り扱っていますので、相談を受けた際には話を伺い選択肢の一つとしてNGAVの導入を勧める場合がありますし、MDRの導入を勧める場合もあります。XDRの運用を別料金で請け負うことは可能ですが、弊社として24時間365日の体制は作れないので正直なところ「お断りしたい」というのが本音です。弊社も御社も幸せに慣れそうにはないので…