Endpoint Detection and Response

Endpoint Detection and Response（EDR、エンドポイント検出応答）とは、コンピュータシステムのエンドポイント（端末）において脅威（英語版）を継続的に監視して対応するサイバーセキュリティ技術である^[1][2]。

歴史

2013年、ガートナーのアントン・チュバキン（英語版）は、「ホスト/エンドポイントでの不正な挙動（およびその痕跡）やその他の問題の検出・調査に主に焦点を当てたツール」を指すものとして、Endpoint Threat Detection and Response（ETDR、エンドポイント脅威検出応答）という用語を作り出した^[3]。現在では、一般にEndpoint Detection and Response(EDR)と呼ばれている。

Endpoint Detection and Response - Global Market Outlook (2017-2026)のレポートによれば、クラウドベースおよびオンプレミスのEDRソリューションの採用は年間で26%増加し、2026年までに7億2,327万ドルに達すると評価される^[4]。また、Zion Market Researchのレポート「サイバーセキュリティ市場における人工知能」によると、機械学習と人工知能の役割は2025年までに309億ドルの情報セキュリティ市場を創出する^[5][6]。

コンセプト

EDRは、エンドポイントを脅威から保護するために使用される技術である。各エンドポイントデバイスにデータを収集するツールを展開し、収集したデータを分析して潜在的な脅威と問題を明らかにする。これは、ハッキングの試みやユーザデータの盗難に対する保護である。ソフトウェアはエンドユーザのデバイスにインストールされ、継続的に監視を行う。収集したデータは一元化されたデータベースに保存される。脅威が見つかった場合には、当該のエンドポイントのユーザに速やかに予防策のリストが表示される^[7][8]。

全てのEDRプラットフォームには、独自の機能セットがある。ただし、オンラインモードとオフラインモードの両方でのエンドポイントの監視、脅威へのリアルタイムの応答、ユーザーデータの可視性と透明性の向上、ストアエンドポイントイベントとマルウェアインジェクションの検出、ブラックリストとホワイトリストの作成は、EDRプラットフォームの一般的な機能となっている^[1][7]。