EDRの役割|情報処理安全確保支援士試験 令和8年 科目A-2試験予想Ⅰ 問14
出典:3-4:セキュリティ監視並びにログの取得及び分析)|セキュリティ監視(制御システム,IoT機器の監視を含む),SOCに関する知識
分野:セキュリティ / 情報セキュリティ対策
EDR(Endpoint Detection and Response)の説明として,最も適切なものはどれか。
- ア:ネットワーク上の通信を収集・分析し,内部ネットワークにおける不審な通信や侵入後の横展開を検知する仕組みである。
- イ:エンドポイントにおけるプロセス実行,通信,ファイル操作などの挙動を監視・記録し,脅威の検知,調査,対応を支援する仕組みである。
- ウ:エンドポイント,ネットワーク,クラウドなど複数の領域から得られる情報を統合し,組織全体の脅威検知と対応を支援する仕組みである。
- エ:マルウェアの実行を未然に防ぐために,パターン照合や振る舞い検知によって端末を保護することを主目的とする仕組みである。
TSUNAGARU-ADVICE
まず押さえたいこと
EDRは、PCやサーバなどのエンドポイントで発生するプロセス実行、通信、ファイル操作などを監視・記録し、脅威の検知、調査、対応を支援する仕組みです。侵入を完全に防ぐだけでなく、侵入後の不審な挙動を早期に見つけて対応する点が重要です。
迷ったときの判断軸
ネットワーク上の通信を中心に見るものはNDR、エンドポイント・ネットワーク・クラウドなどを統合して見るものはXDRです。また、マルウェア実行を未然に防ぐ端末保護は従来型のアンチウイルスやEPPに近い説明です。EDRは、エンドポイント上の挙動を記録し、検知後の調査・対応まで支援するものと判断しましょう。
科目Bにつなげるために
科目Bでは、端末で不審なPowerShellが実行された、外部C&Cサーバと通信した、ファイルが暗号化された、といった侵害後の挙動を読み取る場面があります。EDRは、端末上で何が起きたかを追跡し、隔離や調査につなげる仕組みとして整理しておきましょう。
EDRは、Endpoint Detection and Responseの略で、PCやサーバなどのエンドポイント上の挙動を監視・記録し、脅威の検知、調査、対応を支援する仕組みです。
具体的には、プロセスの実行、ファイル操作、通信、レジストリ変更などを記録し、不審な挙動を検知したときに、原因調査や端末隔離などの対応につなげます。侵入を完全に未然防止するというより、侵入後の早期検知と対応を重視する点が特徴です。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:ネットワーク上の通信を収集・分析し,内部ネットワークにおける不審な通信や侵入後の横展開を検知する仕組みである。
⇒NDRの説明です。NDRはネットワーク上の通信を分析して脅威を検知する仕組みであり、EDRのようにエンドポイント上のプロセス実行やファイル操作などを中心に監視するものではありません。
ウ:エンドポイント,ネットワーク,クラウドなど複数の領域から得られる情報を統合し,組織全体の脅威検知と対応を支援する仕組みである。
⇒XDRの説明です。XDRは、エンドポイントだけでなく、ネットワーク、クラウド、メールなど複数領域の情報を統合して検知・対応を行います。EDRは主にエンドポイントを対象とします。
エ:マルウェアの実行を未然に防ぐために,パターン照合や振る舞い検知によって端末を保護することを主目的とする仕組みである。
⇒アンチウイルスソフトやEPPに近い説明です。EDRも検知機能をもちますが、主な特徴はエンドポイント上の挙動を記録し、侵入後の調査や対応を支援することです。