EDRの振る舞い検知とは？
EPPとの違いや未知の脅威を防ぐ仕組みを解説

連日のように報じられる大企業のランサムウェア被害や個人情報漏えいのニュースを目にして、ため息をつく情報システム担当者は多いでしょう。EPP（Endpoint Protection Platform | エンドポイント保護プラットフォーム） を導入して、OSのアップデートを実施し、従業員への教育も行っているにもかかわらず、なぜ対策済みの企業がこれほど容易に突破されてしまうのでしょうか。

その理由は、企業が長年続けてきた「境界防御」という考え方と、現代の攻撃手法の間に埋められない溝が生じているためです。 

境界防御は、外部からの侵入を防ぐことを前提とした対策ですが、現在の攻撃はID・パスワードの窃取やフィッシングなどにより、正規ユーザーとして内部に侵入するケースが増えています。つまり、一度内部に侵入されてしまうと、境界防御だけでは攻撃を防ぎきれない状況になっているのです。

本記事では、従来型のウイルス対策ソフトをはじめとするEPPが抱える課題を可視化し、なぜ侵入されることを前提としたEDR（Endpoint Detection and Response | エンドポイントでの検知と対応）が必要なのかを解説します。また、導入後の運用負荷や、リソースが限られた組織でも実現可能な運用方法についてもご紹介します。

 目次

1. EDRの「振る舞い検知」が注目される理由：なぜEPPだけでは守りきれないのか
2. 振る舞い検知で捉えるべきサイバー攻撃が「防御をすり抜ける」プロセス
3. EDRとは何か：振る舞い検知の役割
4. EDR導入判断のポイント：振る舞い検知によるリスク低減とコストの考え方
5. まとめ

EDRの「振る舞い検知」が注目される理由：なぜEPPだけでは守りきれないのか

まず、EPPが何を防御するのかをおさらいしましょう。多くの企業にとって、セキュリティ対策の第一歩はウイルス対策ソフトの導入でした。現在もエンドポイント対策の代表として中心的な役割を担っていますが、EPPを導入していても被害が絶えない理由を探ると、現在の攻撃者が突いてくる死角が見えてきます。

EPPの役割

EPPの基本的な仕組みは「シグネチャ（定義ファイル）ベースの検知」であり、その目的はエンドポイントのデバイスそのものを防御することです。つまり、過去に発見されたマルウェアの特徴をデータベース化し、ファイルと照合して検知する仕組みです。この仕組みは、日々大量に発生する既知のマルウェアを効率的に排除するうえで、今なお極めて有効な手段です。

しかし近年の攻撃者は、EPPで検知されないよう、まったく異なる手法で侵入を試みます。

ただし、EPPが不要というわけではありません。重要なのは、EPPで基本的な攻撃の約99%（※）を退け、残りの巧妙な1%をどう捕捉するか、という多層的な視点を持つことです。

（※）出典：AV-Comparatives Real-World Protection Test（実環境保護テスト）

EPPとEDRの検知範囲

項目	EPP	EDR
主な役割	既知の脅威を防ぐ （侵入後の検知は基本できない）	侵入後の不審挙動を検知・調査する
防げる脅威	既知のウイルス、既知のランサムウェアなど	未知のさまざまな攻撃、ファイルレス攻撃、正規アカウントの悪用など
主な機能	脅威のブロックなど	不審挙動の検知・記録・不審プロセスの停止・通信遮断など

振る舞い検知で捉えるべきサイバー攻撃が「防御をすり抜ける」プロセス

本当の脅威は、侵入されたその瞬間に起こるわけではありません。近年のサイバー攻撃、特に甚大な被害をもたらすランサムウェア攻撃において、侵入はあくまで攻撃の初期段階に過ぎないのです。

侵入は時間をかけて行われる

ランサムウェア攻撃は、企業の事業停止を招くおそれがあるため、万全な対策が欠かせません。かつては特定の組織を狙う標的型攻撃が主でしたが、現在は攻撃の自動化ツールも存在し、無差別かつ執拗に行われています。代表的な侵入経路は以下のとおりです。

• VPN機器や公開サーバーの未修正の脆弱性を突いた不正アクセス
• 巧妙に偽装されたフィッシングメールによるID・パスワードの窃取
• 取引先を装ったメールへの不正ファイル添付による、悪意あるサイトへの誘導
• ダークウェブで購入されたIDを用いたなりすまし

「内部探索」の具体例

侵入経路を確保した攻撃者は、数週間におよぶ潜伏期間の間に内部を探索します。その主な流れは以下のとおりです。

1. アカウント窃取と権限昇格
   最初に乗っ取った一般社員のPCからネットワーク内を探索。システム管理者アカウントを窃取し、より高い操作権限を手に入れます。
2. 水平展開（ラテラルムーブメント）
   管理者権限を使い、サーバーやその奥のデータベースへと侵入を拡大します。
3. 情報の選別
   どのサーバーに、最も高値で売れる、あるいは脅迫に使える情報があるかを、時間をかけて探索します。

また攻撃者は、自らの存在を悟られないよう、あえて特別なツールを使わずにWindows標準の正規ツールを悪用します。

気づけないという事実

この間、攻撃者はセキュリティ監視に検知されないよう、慎重に調査を行います。平常時のシステム負荷が急増するような行動は避け、操作ログを巧妙に消去したり、セキュリティソフトの検知機能を密かに無効化したりします。

IBMのレポート「IBM Cost of a Data Breach Report 2025」によると、サイバー攻撃を受けてから侵入を検知するまでに要する期間（平均検出時間、MTTI）は、平均で約180日とされています。約半年もの間、攻撃者が自社のネットワーク内を自由に動き回り、情報を収集し続けているということです。

そして攻撃者が最終的な目的、つまり大量データの持ち出しやデータの暗号化によるシステム停止を実行に移すのは、すべての準備が整った最終段階です。

• ある朝出社すると全サーバーのファイルが暗号化されている
• 管理画面にログインしようとしても、パスワードが変更されていて入れない
• ダークウェブに自社の顧客名簿が掲載され、多額の身代金を要求される

この段階になってはじめて、組織は異変に気づきます。しかし、この時点ではバックアップさえも暗号化されて使えないケースが多く、ビジネスは完全に停止してしまいます。

侵入を防ぐことだけに注力し、侵入後の潜伏期間を見逃してしまうことがどれほど致命的なリスクを孕んでいるかがわかるでしょう。これこそが、従来の境界防御のほかに、新たな監視の目を必要とする最大の理由です。

※出典：IBM Cost of a Data Breach Report 2025

EDRとは何か：振る舞い検知の役割

この現実を前に、企業はセキュリティのパラダイムシフトを迫られています。その答えの一つがEDRです。EDRは、高度な監視カメラを備えた、ITデバイスにおけるドライブレコーダーともいえる存在です。

コンセプトの転換

EPPをはじめとするこれまでのセキュリティ対策は、外部からの悪意ある侵入を防ぐことに注力してきました。しかし、どれほど高い防御壁を築いても、窃取したID・パスワードなどを使った正規ルートでの侵入を完全に防ぐことは不可能です。

そこでEDRは「侵入されることは避けられない」という前提に立ち、侵入後の不審な動きをいち早く検知することに重点を置いています。万が一、不審者が侵入したとしても、その挙動をリアルタイムで追跡し、被害が大きくなる前に対処することがEDRの本質的な役割です。

EDRの主要機能

EDRの機能は、主に以下の3つに集約されます。

EPPとEDRの相乗効果

「EDRを導入するなら、もうEPPは要らないのではないか」という疑問を持つ方も少なからずいますが、EPPも必要です。EPPがなければ、本来防げたはずの単純なマルウェアまですべてEDRで検知・対処することになり、管理者は膨大なアラート対応に忙殺されてしまいます。また、EDRが検知した段階ではすでに「侵入を許している」状態であるため、防げるはずの攻撃をあえて通してしまうのは合理的ではありません。

• EPP（防御）：既知の脅威をシグネチャによってパターンマッチングし、侵入前に水際で排除する 
• EDR（監視）：EPPをすり抜けた未知の脅威や高度な攻撃による不審な挙動を検知・対処する   

EPPとEDRは、どちらか一方が優れているという関係ではなく、併用することで効果的に機能します。サイバー攻撃を受けてもビジネスを止めない事業継続性の観点からも、今最も求められているセキュリティ対策といえるでしょう。

EPPとEDRの違い

比較項目	EPP	EDR
主な目的	既知の脅威の防御と遮断	侵入後の早期検知・可視化・対処
監視対象	ファイル自体の有害性（悪意のあるコード）	端末上の挙動（操作や通信の背景）
検知手法	シグネチャによる検知	振る舞い検知
得意な領域	シグネチャがある既知のマルウェアを自動的に排除	巧妙な侵入・潜伏活動の捕捉
弱点	ファイルレス攻撃、なりすましによるログイン等、正規ルートによる攻撃からの防御、等	単体では感染そのものを未然に防げない
導入形態	端末保護ソフトウェアをインストール	監視用ソフトウェアを端末にインストール
運用負荷	低（検知の多くは自動排除され、排除できなかったものに対処が必要）	中〜高（検知内容を分析し、対応要否の判断が必要）
経営的価値	セキュリティ対策の基本	事業継続性（レジリエンス）の確保

EDR導入判断のポイント：振る舞い検知によるリスク低減とコストの考え方

近年、重大な事業リスクの一つとなったサイバー攻撃に対し、その脅威を低減するEDRの導入は、単なるコストではなく事業継続のための極めて合理的な投資といえます。

侵入された場合の復旧コスト

EDRの導入コストは、単純な月額費用の比較で判断すべきものではありません。

重要なのは、対策を講じなかった場合に発生し得る損失と合わせて、リスクベースで評価することです。一度ランサムウェアの被害に遭えば、代償は計り知れません。

仮にこれらの損失をカバーするサイバー保険を検討したとしても、年間の保険料は一般的に高額となります。むしろ、EDRを導入していないことがセキュリティ対策として不十分と解釈され、保険の引き受けを拒否される可能性も否定できません。さらに、保険には免責金額や支払限度額があるため、全額をカバーすることは事実上不可能です。

このように、事後発生的な莫大な損失を考えれば、仮にEDRの導入で防いだインシデントが年1件だったとしても、EDRの運用コストは十分に許容できるリスクヘッジといえます。

運用体制の検討

ツール選び以上に重要なのが、運用体制の構築です。EDRは侵入されている状態を検知するツールであるため、アラートを検知したあとに誰かが内容を分析・判断し、端末隔離などの対処を行わなければなりません。また、真に危険なアラートを識別する運用が常時必要です。

攻撃者は営業時間を選んでやってくるわけではないため、夜間や休日であっても速やかに対応できる体制が必要です。自社で対応する場合は、シフト制を組むか、緊急通知を受けられるスタンバイ体制を敷くことになり、追加の人的リソースが不可欠となります。

しかし、自社単独で24時間体制の監視を維持することは、多くの企業にとって現実的ではありません。そこで検討すべきなのが、SOC（Security Operation Center | セキュリティオペレーションセンター） や、EDRの運用を専門家が代行するMDR（Managed Detection and Response | 検知と対応のマネージドサービス）サービスの活用です。

外部の専門家による監視を既存の情報システム部門のリソースと組み合わせることで、社員の追加を抑えつつ、深夜や休日であっても即座に脅威を特定し、初動対応を完了させられます。

選定の基準

市場には多様なEDR製品が存在しますが、選定においてはカタログスペックの高さだけで判断せず、以下の3つの視点を持つことが重要です。

• 導入のしやすさ
  既存のシステムやPCの動作に負荷をかけないか、監視用ソフトウェアの配布がスムーズに行えるか
• 検知精度の高さとノイズの少なさ
  攻撃を見逃さないことは当然ながら、正常な動作を誤検知するアラートが多すぎないか
• 運用の持続性
  自社の担当者が管理画面を使いこなせるか、または連携するSOCサービスが対応しているか

また導入にあたっては、情報資産の棚卸しを実施し、企業にとって最も重要なデータがある領域から着手します。実効性の高いロードマップを描いて進めることが大事です。

セキュリティ対策は一度導入して終わりではありません。また、100%の防御が存在しない以上、企業に求められるのは、侵入されても即座に気づき、致命傷を避けるための体制づくりです。

まとめ

本近年のサイバー攻撃は、どれほど強固な防御態勢を準備したとしても、攻撃者は正規ユーザーになりすましたり、脆弱性や認証情報を悪用したりして内部へと侵入してきます。そのため、境界防御の限界を正しく認識したうえで、侵入を前提としたレジリエンス（回復力）の重要性を再確認し、時代に即した対策を行う必要があります。

いまやサイバーセキュリティは情報システム部門だけの課題ではなく、経営に直結する事業リスクそのものです。セキュリティ対策を単なるコストや後ろ向きな投資と捉えるべきではありません。侵入される前提で守りを固めることは、企業が安心してDX（デジタルトランスフォーメーション）を推進し、新たなデジタル活用へと踏み出すための確固たる基盤となり、企業の成長を加速させます。この記事が、貴社の安全な未来を築くための一助となれば幸いです。

「HENNGE Endpoint & Managed Security」は、高品質なEPP・EDRとあわせて24時間365日体制のフルマネージドサービスを提供するサービスです。情報システム部門の負荷を抑えつつ、セキュリティ対策のレベルを底上げしたい企業様には「HENNGE Endpoint & Managed Security」の導入をおすすめします。