【問200】個人情報保護士 練習問題|不正アクセス・サイバー攻撃の種類と対策
情報セキュリティ 問20/120難易度C(難しい)
問題文
EDR(Endpoint Detection and Response)に関する次の記述のうち、最も適切なものはどれか。
- 1.EDRは従来型のウイルス対策ソフトと同じくシグネチャベースの検知のみを行う
- 2.EDRはネットワーク境界で通信を監視するファイアウォールの一種である
- 3.EDRはエンドポイント(端末)の挙動を監視・記録し、不審な活動を検知・対応するセキュリティ製品である
- 4.EDRを導入すればウイルス対策ソフトは不要になる
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り
EDRはシグネチャベースの検知だけでなく、端末の挙動を分析して未知の脅威を検知する振る舞い検知機能を備えています。従来型のウイルス対策ソフトとは異なるアプローチです。
選択肢2 → ❌誤り
EDRはネットワーク境界で動作するファイアウォールではなく、各端末(エンドポイント)上で動作するセキュリティ製品です。
選択肢3 → ✅正解
EDRはPC、サーバなどのエンドポイントにおけるプロセスの実行、ファイル操作、通信などの挙動を常時監視・記録し、不審な活動を検知して管理者にアラートを送信するとともに、脅威への対応(隔離、遮断等)を支援する製品です。
選択肢4 → ❌誤り
EDRとウイルス対策ソフトは補完関係にあり、EDRの導入によりウイルス対策ソフトが不要になるわけではありません。近年はEPP(Endpoint Protection Platform)とEDRを統合した製品も増えています。
背景知識
EDRはゼロデイ攻撃や標的型攻撃など、従来のシグネチャベースのウイルス対策ソフトでは検知が困難な脅威への対策として普及が進んでいます。EDRの主な機能は「検知(Detection)」と「対応(Response)」であり、インシデント発生時の調査・分析・封じ込めを迅速に行うことができます。さらに進化したXDR(Extended Detection and Response)はエンドポイントだけでなく、ネットワーク、メール、クラウドなど複数のレイヤーを統合的に監視します。
学習アドバイス
EDRは「エンドポイントの挙動監視と対応」が本質です。EPP(予防)とEDR(検知・対応)の違い、さらにXDRへの発展も把握しておくと理解が深まります。
まとめ
- EDRはエンドポイントの挙動を監視し不審な活動を検知・対応する
- 従来のウイルス対策ソフトとは異なり振る舞い検知が特徴
- EPPとの併用やXDRへの発展も理解が重要