2019年にCarbon Black社がVMware社に買収されましたが、ワークロード向けのセキュリティソリューションとしてVMware Carbon Black Cloud Workloadとして新しく発表されました。

VMware Carbon Black Cloud Workloadは、vSphere上の仮想マシンに対して、NGAV、EDR、Audit & Remediation、脆弱性管理を提供し、エンドポイント保護を行います。

なお、本機能についてはVMware Toolsを通じて管理されるため、あらかじめ組み込まれたセキュリティ（Intrinsic Security）を実現することが可能となります。

と、ここからCarbon Blackのことを紹介していきたいところですが、今回はEDRって何？というところからなぜEDRが必要なの？という点について書いてみたいと思います。

EDRとは

EDRとは「Endpoint Detection and Responce（エンドポイントでの検出と対応）」の頭文字を取ったものです。EDRは、エンドポイント（ユーザのPCやサーバなど）での不審な挙動を検知および調査を目的としたツールを言います。

EDRは、エンドポイント上でマルウェアやランサムウェアによる不審な挙動がないかを監視します。そのため、監視対象にエージェントをインストールし、ログを常時収集します。収集されたログ分析を行い、不審な挙動が見つかると管理者へ通報を行います。通報を受け取った管理者はEDR管理画面にてログを精査、問題の原因、影響範囲を調査し対応を行います。このように最終的にはEDRと人的対応を組み合わせ不測の事態を防ぐというのがEDRの活用シーンとなります。

EPPとどう違う？

EPPは「Endpoint Protection Platform」の頭文字を取ったものです。一般的なウィルス対策ソフトウェア、アンチウィルスソフトウェアがこちらにあたります。EPPはマルウェアの攻撃パターンであるシグネチャを基にマルウェアを発見、対処を行います。

アンチウィルスソフトウェアは最新のマルウェアに対応するために、最新の状態にアップデートされますが、攻撃パターンを把握できていない未知のマルウェアには対応が難しいということが多々ありました。

そのため、現在は攻撃パターンや不正操作を検知した履歴を機会学習させることで未知のマルウェアの攻撃を検知し防御するソリューションであるNGAV（Next Generation Anti Virus）が誕生しています。

VMware Carbon Black Cloud WorkloadにもNGAVが含まれています。

なぜEDRが必要なのか

もう何年も前から言われ続けていますが、サイバー攻撃の手口は高度化しており、マルウェアに感染しない、させないことは不可能だと考えるべきです。となると、サイバー攻撃を未然に防ぐEPPだけでは対策は十分では言えないわけです。

そのため、未知のマルウェアに感染したとしても、素早く検知、対処を行えるEDRが必要だと考えられています。

VMware Carbon Black Cloud WorkloadはEPPであるNGAV、EDRの両方を組み合わせたエンドポイントソリューションとなります。

ここまでEDRの必要性について説明をしましたが、昨今ではゼロトラストの構築が注目されています。ゼロトラストネットワークについては別の記事で記載したいと思いますのでお待ちいただければと思います。