情報処理試験のセキュリティ分野を勉強していると、「EDRって、ウイルス対策ソフトとどう違うの?」と混乱しがちです。実はこの2つは守備範囲がまったく異なります。
この記事では、EDRの仕組みをウイルス対策ソフト(EPP)との違いを軸にして整理し、実際の過去問でどのように問われたかまで踏み込んで解説します。
対象試験と出題頻度
EDRは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
「侵入された後に検知・対応する仕組み」というポイントを確実に押さえておきましょう。
令和4年度秋期・令和6年度春期の応用情報技術者 午後試験でも続けて出題されており、今後も重要度の高い用語です。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
EDR(Endpoint Detection and Response)とは、一言で言うと
「PCやサーバーなどの端末(エンドポイント)を常時監視し、マルウェアの侵入を検知して対応する仕組み」
のことです。
イメージとしては、「家の中に設置した防犯カメラ+警備員」のようなものです。
玄関の鍵(=ウイルス対策ソフト)は、泥棒が入るのを未然に防ぐための仕組みです。しかし、鍵を破って侵入されてしまったらどうでしょうか。玄関の鍵だけでは、家の中で何が起きているか分かりません。
そこで登場するのが、家の中に設置された防犯カメラと警備員(=EDR)です。
防犯カメラが24時間録画し(=ログ収集)、映像から不審者を見つけ(=検知)、警備員がその場で取り押さえ(=隔離)、あとから映像を巻き戻して侵入経路を調べる(=調査・復旧)。
EDRはまさにこの一連の流れを、PCやサーバーの中で自動的に行っています。
「ウイルス対策ソフトを入れていればEDRは不要では?」と思うかもしれませんが、それは違います。近年のサイバー攻撃は巧妙化しており、ウイルス対策ソフトをすり抜けるマルウェアが増えています。
だからこそ「侵入される前提」で備えるEDRが必要になったのです。試験でもこの「侵入前=EPP」「侵入後=EDR」の対比が問われます。
📊 EDRの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Endpoint Detection and Response(エンドポイントでの検知と対応) |
| 役割 | 端末上の不審な挙動を検知し、隔離・調査・復旧を支援する |
| 対象 | エンドポイント(PC、サーバー、スマートフォンなどの端末) |
| 対になる概念 | EPP(Endpoint Protection Platform)=侵入を未然に防ぐウイルス対策ソフト |
| 構成要素 | 端末に導入するエージェント+ログを収集・分析する管理サーバー |
解説
EDRが注目される背景には、サイバー攻撃の高度化があります。
従来のウイルス対策ソフト(EPP)は、既知のマルウェアを「パターンマッチング」で検出する仕組みが中心でした。
しかし、未知のマルウェアやファイルレスマルウェア(ファイルとして保存されず、メモリ上で動作する攻撃)が増えたことで、EPPだけではすり抜けられるケースが増加しています。
そこで生まれたのが「侵入されることを前提として、侵入後にいかに早く検知・対応するか」に焦点を当てたEDRです。
EDRの4つの基本機能
EDRの動作を理解するには、4つの機能を順番に追うのが一番分かりやすいです。
📊 EDRの4つの基本機能
| 順序 | 機能 | 内容 |
|---|---|---|
| 1 | 記録 | 端末上のプロセス起動、ファイル操作、通信履歴などのログを常時収集する |
| 2 | 検知 | 収集したログを分析し、不審な挙動(異常な通信、権限昇格など)を検出する |
| 3 | 隔離 | 脅威を検知した端末をネットワークから切り離し、被害の拡大を防ぐ |
| 4 | 調査・復旧 | ログをもとに感染経路や影響範囲を調査し、端末の復旧を支援する |
この4つの機能は、そのまま試験の解答に直結します。実際に令和4年度秋期の応用情報 午後問1では、EDRが「ICMPエコー要求パケットの連続送信」という不審な挙動を検知し、感染PCをネットワークから隔離する――という流れが出題されました。4つの機能を覚えておくだけで、午後問題の記述にも対応できます。
EPP(ウイルス対策ソフト)との違い
試験で最も問われるのが、EDRとEPPの違いです。この2つを混同すると確実に失点するので、ここは割り切って「守備位置が違う」とだけ覚えてください。
📊 EPP vs EDR の比較
| 比較項目 | EPP | EDR |
|---|---|---|
| 正式名称 | Endpoint Protection Platform | Endpoint Detection and Response |
| 目的 | マルウェアの侵入を未然に防ぐ | 侵入後に検知し、被害を最小限にする |
| タイミング | 感染前(予防) | 感染後(検知・対応) |
| 例えるなら | 玄関の鍵・オートロック | 室内の防犯カメラ+警備員 |
| 関係 | どちらか一方ではなく、両方を組み合わせる(多層防御)のが基本 | |
ポイントは「EPPが防げなかった脅威をEDRが拾う」という補完関係です。
令和6年度春期の応用情報 午後問1でも、EDRの動作として正しいものを選ぶ設問で「マルウェアの侵入を防御する」というEPPの機能が不正解選択肢として出されました。「防御」はEPP、「検知と対応」はEDR。この一語の違いで正誤が分かれます。
関連用語:XDRとNDR
EDRの発展形として、試験の選択肢に登場する可能性がある関連用語も整理しておきます。
📊 EDR・NDR・XDRの違い
| 用語 | 正式名称 | 監視対象 |
|---|---|---|
| EDR | Endpoint Detection and Response | PC・サーバーなどのエンドポイント |
| NDR | Network Detection and Response | ネットワーク全体のトラフィック |
| XDR | Extended Detection and Response | エンドポイント+ネットワーク+クラウドなど広範囲 |
基本情報・応用情報レベルでは「EDRとEPPの違い」が最優先です。NDRやXDRは「こんな用語もある」程度で構いません。応用情報の午後問題や支援士試験を受ける方は、XDRまで頭に入れておくと安心です。
💡 EDRの核心を3行で
・マルウェアに侵入された「後」に検知・隔離・対応する仕組み
・EPP(ウイルス対策ソフト)が「予防」、EDRが「事後対応」。両方使うのが基本
・エンドポイント(端末)上のログを常時収集・分析し、不審な挙動を見つけ出す
📌 試験対策のポイント
試験では、EDR製品の具体的な設定方法や運用手順までは問われません。
「エンドポイントを監視し、侵入後の不審な挙動を検知・対応する仕組み」という定義と、EPP(感染前の予防)との違いを確実に区別できれば得点できます。
試験ではこう出る!
EDRは、エンドポイントセキュリティに関する問題で頻出です。特に応用情報技術者の午後試験では、令和4年度秋期・令和6年度春期と2回続けてEDRが題材になっています。午前問題だけでなく午後の記述問題でも出るテーマなので、具体的な出題パターンを押さえておきましょう。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| 応用情報 R4秋 午後問1 |
マルウェア(Emotet型)の侵入対策としてEDR導入を検討する問題。管理サーバーとエージェントの構成が示され、不審な挙動の検知→感染PCの隔離→ログ分析による被害把握の流れが出題された。 | ・EDRの構成(エージェント+管理サーバー) ・不審な挙動の検知条件 ・感染端末のネットワーク隔離 ・ログ分析による被害内容の把握 |
| 応用情報 R6春 午後問1 |
境界型防御からゼロトラスト環境へ移行する問題。セキュリティインシデント対策としてEDRソフトを貸与PCに導入し、マルウェア感染時の動作を選ぶ設問が出題された。 | ・EDRは「侵入防御」ではなく「検知+対応」 ・マルウェア感染時にPCをネットワークから遮断し不審なプロセスを終了させる ・EPPやDLPとの機能の区別 |
令和4年秋期の問題では「EDRが保存するログの分析」が記述式で問われました。EDRの4つの機能(記録→検知→隔離→調査・復旧)をそのまま答えに使える出題です。また、令和6年春期では、EDRの動作の選択肢に「パターン情報に登録されているマルウェアの侵入を防御する」(=EPPの機能)が紛れ込んでおり、EDRとEPPの違いを正確に理解しているかが問われました。
【頻出キーワード】
- エンドポイント(PC・サーバー)の監視
- 不審な挙動の検知(Detection)と対応(Response)
- 侵入後の対策(EPPとの対比)
- ログの常時収集・分析
- 感染端末のネットワーク隔離
試験問題で「端末にエージェントを導入し、不審な挙動を検知して管理サーバーに通知する仕組み」や「マルウェア感染後に端末をネットワークから隔離し、被害拡大を防ぐセキュリティ対策」といった記述があれば、それは「EDR」に関する記述です。
📝 IPA試験での出題パターン
午前問題では「EDRの説明として適切なものを選べ」という知識問題が出ます。ひっかけ選択肢として「マルウェアの侵入を防止する仕組み」(=EPP)や「機密情報の外部送信をブロックする仕組み」(=DLP)が定番です。午後問題では、EDRの構成や動作を本文中の記述と組み合わせて答える形式が出ます。「エージェント」「管理サーバー」「ログ分析」「ネットワーク隔離」というキーワードを使って記述できるようにしておきましょう。
よくある質問(FAQ)
Q. EDRとは簡単に言うと何ですか?
EDR(Endpoint Detection and Response)は、PCやサーバーなどの端末を常時監視し、マルウェアに侵入された後の不審な動きを検知して、隔離や調査などの対応を行うセキュリティの仕組みです。「侵入されることを前提に、被害を最小限に食い止める」ことを目的としています。
Q. EDRとEPP(ウイルス対策ソフト)の違いは何ですか?
EPPは「マルウェアの侵入を未然に防ぐ」予防型の対策、EDRは「侵入後に検知・対応する」事後対応型の対策です。EPPが玄関の鍵なら、EDRは家の中の防犯カメラと警備員にあたります。実務でも試験でも、どちらか一方ではなく両方を組み合わせて使うのが正解です。
Q. EDRは情報処理試験でどのように出題されますか?
午前問題では「EDRの説明として適切なものを選べ」形式が中心です。午後問題では、令和4年秋期の応用情報でEDRの管理サーバーとエージェントの構成が問われ、令和6年春期にはゼロトラスト環境でのEDR導入が題材になりました。「エージェント」「ログ収集」「ネットワーク隔離」がキーワードです。
Q. EDR・NDR・XDRの違いは?試験ではどこまで覚えるべき?
EDRは端末、NDRはネットワーク、XDRは両方+クラウドまで含めた監視対象の違いがあります。基本情報・応用情報レベルではEDRとEPPの違いが最優先です。NDR・XDRは「監視対象が異なる派生型」程度の理解で十分です。支援士試験を目指す方はXDRまで押さえておくと安心です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. EDR(Endpoint Detection and Response)に関する説明として、最も適切なものはどれでしょうか?
- A. 端末上の挙動を常時監視・記録し、マルウェア侵入後の不審な動作を検知して隔離・対応を行う仕組み
- B. 既知のマルウェアのパターンと照合し、端末への侵入を未然にブロックするセキュリティソフトウェア
- C. ネットワーク全体のトラフィックを監視し、不正な通信パターンを検出してアラートを発するシステム
正解と解説を見る
正解:A
解説:
EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイント上の挙動を常時監視・記録し、マルウェア侵入後の不審な動作を検知して、感染端末の隔離や原因調査といった対応を行う仕組みです。「侵入されることを前提に、いかに素早く検知・対応するか」に焦点を当てている点が最大の特徴です。令和6年度春期の応用情報でも、EDRの動作として「PCをネットワークから遮断し、不審なプロセスを終了する」が正解でした。
選択肢Bは「EPP(Endpoint Protection Platform)」の説明です。EPPは侵入前の防御を担うウイルス対策ソフトであり、EDRとは守備範囲が異なります。実際の過去問でも「パターン情報に登録されているマルウェアの侵入を防御する」はEDRの動作ではないとして不正解でした。選択肢Cは「NDR(Network Detection and Response)」の説明です。NDRはネットワーク全体のトラフィックを監視対象としており、エンドポイントに特化したEDRとは監視対象が異なります。
