Endpoint Threat Protection: NGAV, EDR, and XDR
シグネチャ AV から NGAV・EDR・XDR への進化を俯瞰。Gartner MQ EPP 2025 Leaders の比較、Cortex XDR の ATT&CK 100% 検知、CrowdStrike 2024 年障害の段階展開教訓を解説。
article technology ja シグネチャ AV から NGAV・EDR・XDR への進化を俯瞰。Gartner MQ EPP 2025 Leaders の比較、Cortex XDR の ATT&CK 100% 検知、CrowdStrike 2024 年障害の段階展開教訓を解説。エンドポイント脅威対策:NGAV・EDR・XDR
エンドポイントは攻撃者が組織へ侵入する主要な入口だ。かつてはシグネチャベースのアンチウイルス(AV)が防衛の主力だったが、ファイルレスマルウェア・ゼロデイ・高度な永続化手法の台頭により、振る舞いベースの検知と継続的な記録・調査・対応が不可欠となった。NGAV・EDR・XDR の三層を体系的に整理し、Gartner MQ 2025 の主要ベンダー比較と CrowdStrike 2024 年障害の教訓を踏まえて実践的に俯瞰する。情報カットオフ ~2025-08、confidence: medium 固定(2026-05 時点での外部再検証は未実施)。
エンドポイント防御の進化:シグネチャ AV から XDR へ
エンドポイント防御の歴史は検知能力の拡張の歴史だ。
シグネチャ AV(従来型アンチウイルス) は既知マルウェアのハッシュ・バイナリパターンと突合する。シグネチャが存在しない未知の脅威には無力で、ファイルレス攻撃(メモリ上で動作し、ディスクに痕跡を残さない攻撃)への対応も困難だ。
NGAV(Next-Generation AV) は機械学習と振る舞い分析を加え、未知の脅威や多形型マルウェアを検知する。シグネチャに依存しない点が最大の差異。
EDR(Endpoint Detection and Response) はリアルタイム記録・検知・調査・対応・ロールバックの統合機能を提供する。単なる防御ではなく「侵害後の可視性と対応」を重視する概念転換だ。
XDR(Extended Detection and Response) は EDR を起点に、ID・クラウド・ネットワーク・メールのテレメトリを統合し、クロスドメインで脅威を相関させる。2019 年に Palo Alto Networks が提唱し、2025 年にかけて業界全体で成熟した。
NGAV:振る舞い検知と ML によるシグネチャレス防御
NGAV の主な技術要素は以下の通り。
機械学習(ML)モデル は既知・未知を問わず実行ファイルの特徴量を評価し、マルウェア確率を算出する。エージェント内でオフライン推論可能なモデルを持つ製品は、インターネット接続がなくても機能する。
振る舞い分析(Behavioral Analysis) はプロセス起動・API 呼び出し・レジストリ変更・ネットワーク接続などの動的挙動を監視し、不審なパターンを検知する。シグネチャがなくても「悪意ある振る舞い」を捉えられる。
ファイルレス攻撃対策 は PowerShell / WMI / LOLBins(Living off the Land Binaries)を悪用するメモリ上の攻撃を対象とする。従来 AV はディスク上のファイルが検知起点のため、ファイルレス攻撃を見逃す。NGAV はプロセスのメモリ空間・スクリプト実行内容を監視して補完する。
EDR:継続的記録・検知・調査・対応
EDR は「侵害は起きる前提で、素早く検知・封じ込める」という考え方に基づく。
継続的テレメトリ記録
EDR エージェントはエンドポイント上のすべての重要イベント(プロセス生成・ファイル操作・レジストリ変更・ネットワーク接続・ログイン)を継続的に記録してクラウドへ送信する。この記録(テレメトリ)がインシデント調査の根拠となる。
CrowdStrike Falcon の単一軽量エージェントはカーネルレベルの可視性を持ちながら、パフォーマンス影響を最小化している(Q3 FY2025 で gross retention 97% 超)。
検知と MITRE ATT&CK マッピング
EDR は収集したテレメトリに対して検知ルール・ML モデルを適用し、アラート(Detection) を生成する。各アラートは MITRE ATT&CK フレームワークの戦術(Tactic)・技術(Technique)にマッピングされることで、「攻撃者が何をしているか」を構造化して理解できる。
Palo Alto Cortex XDR は 2024 年 MITRE ATT&CK Evaluations Enterprise において、設定変更ゼロ・防御の誤検知ゼロで technique レベル 100% 検知 を達成した唯一の製品として評価された。
調査(Investigation)とロールバック
EDR は「この端末でどんな経路で侵害が起きたか」を可視化するプロセスツリー・タイムライン表示を提供する。セキュリティアナリストはアラートを起点に、テレメトリを遡って攻撃の全体像を把握できる(Threat Hunting)。
ランサムウェア等による変更・暗号化のロールバック機能を持つ EDR 製品もある(SentinelOne Storyline Active Response / Rollback 等)。
XDR:クロスドメイン相関とクラウド・ID・ネットワークの統合
XDR は EDR のエンドポイントテレメトリに加え、次のドメインを統合する。
| ドメイン | 例 |
|---|---|
| ID | Azure AD / Entra ID のサインインログ・異常な認証 |
| クラウドワークロード | クラウドアプリのアクセスログ・設定変更 |
| メール | フィッシング・悪意ある添付ファイル |
| ネットワーク | ファイアウォール / NDR のフロー・アラート |
単一ドメインでは見えない攻撃チェーン(例:フィッシングメール → エンドポイント実行 → 横移動 → クラウドデータ窃取)をクロスソース相関で検出できる。
主要ベンダーの XDR アーキテクチャ
Microsoft Defender XDR(旧 Microsoft 365 Defender)は Defender for Endpoint(EDR)+ Defender for Identity + Defender for Office 365 + Defender for Cloud Apps を統合する。M365 E5 ライセンスに同梱されるため、E5 保有組織は EDR / XDR の限界費用がゼロとなる。Sentinel(SIEM)との連携で更に広域相関が可能。
CrowdStrike Falcon はクラウドネイティブ単一エージェントで、EDR・NGAV・脅威インテリジェンス・ID 保護(Falcon Identity Threat Protection)・クラウドセキュリティ(Falcon Cloud Security)を Falcon プラットフォームに統合する。
Palo Alto Cortex XDR は Cortex XDR + Prisma Cloud + XSIAM(セキュリティ運用プラットフォーム)として提供される。XSIAM は SIEM・SOAR・UEBA を統合した次世代 SOC プラットフォームを目指す。
Gartner MQ for EPP 2025:主要ベンダー評価
Gartner Magic Quadrant for Endpoint Protection Platforms(EPP)2025 での Leaders は以下の通り(2025 年時点、情報カットオフ ~2025-08):
| ベンダー | 製品 | 主な強み |
|---|---|---|
| CrowdStrike | Falcon | クラウドネイティブ・シングルエージェント。ID 保護・クラウドセキュリティを統合。gross retention 97% 超(Q3 FY2025) |
| SentinelOne | Singularity Platform | 5 年連続 Leader。自律型 AI 検知・ロールバック機能。Storyline による攻撃グラフ |
| Microsoft | Defender for Endpoint | 6 年連続 Leader。M365 E5 同梱で E5 組織は限界費用ゼロ。Defender XDR との統合 |
| Palo Alto Networks | Cortex XDR | 2024 MITRE ATT&CK 100% technique 検知。XSIAM で SOC 統合 |
| Trend Micro | Vision One | ハイブリッド環境の可視性。マネージドサービスオプション |
| Sophos | Sophos Endpoint | MDR(Managed Detection and Response)との統合。中堅市場に強み |
Bitdefender は唯一の Visionary ポジション。
MDR:セキュリティ運用の外部委託
MDR(Managed Detection and Response) は EDR / XDR のプラットフォームと人的アナリストをサービスとして提供する形態だ。24/7 の監視・調査・対応をアウトソースできるため、社内 SOC を持たない組織でも高度なエンドポイント防御が実現できる。
CrowdStrike(Falcon Complete)・SentinelOne(Vigilance MDR)・Sophos(Sophos MDR)等が商用 MDR サービスを提供している。
CrowdStrike 2024 年 7 月障害:エージェント更新リスクの教訓
2024 年 7 月 19 日、CrowdStrike Falcon Sensor の不具合コンテンツ更新(Channel File 291)が約 850 万台の Windows を BSOD(Blue Screen of Death)でクラッシュさせた。史上最大の IT 障害として記録されている。被害規模は数百億ドルとされる。
障害の技術的原因
Channel File 291 は IPC(Inter-Process Communication)テンプレートの入力フィールド数を定義するファイルで、更新版が 21 フィールドを参照したのに対し、コンテンツ検証ソフトウェアは 20 フィールドのみを検証した。不一致による境界外メモリアクセスがカーネルクラッシュを引き起こした。UTC 05:27 に更新が撤回されたが、既にクラッシュした端末は自動回復不可で手動復旧が必要だった。
教訓:エージェント更新の段階展開と検証
この障害は EDR エージェント更新のリスク を業界全体に突きつけた。エンドポイント防御製品はカーネルレベルのアクセスを持つため、不具合が端末全体の停止につながる。
重要な教訓:
- コンテンツ更新(シグネチャ・設定ファイル)もコードと同様に検証プロセスが必要。CrowdStrike はその後、コンテンツ検証の改善と段階展開の強化を公表した。
- リング展開(Canary → 段階展開 → 広域) はエージェント更新にも適用すべきだ。UEM(tech-130 参照)と同様のロールアウト管理が EDR 製品にも求められる。
- BCP(事業継続計画)における EDR エージェント障害シナリオ を組み込む。回復手順(セーフモード起動・ファイル削除の自動化)をあらかじめ文書化しておく。
アンチパターン(AP):よくある誤りと対策
| アンチパターン | リスク | 対策 |
|---|---|---|
| EDR 導入 ≡ 安全と誤解 | EDR は検知・対応ツール。適切な設定・運用・調査なしには機能しない | 専任アナリストまたは MDR による継続的な監視・対応体制を整備 |
| エージェント更新を段階展開なしに全展開 | CrowdStrike 2024-07-19 障害に代表される大規模障害リスク | リング展開(Canary → Early Adopter → Broad)を UEM と同様に実施 |
| アラート疲労で対応漏れ | 大量の低優先度アラートに埋もれて重要検知を見落とす | SOAR による自動トリアージ。MITRE ATT&CK 重要度で優先フィルタリング |
| EDR 単体で ID・クラウドの盲点を放置 | エンドポイント外(クラウド API / ID プロバイダー)への横移動を検知できない | XDR でクロスドメインテレメトリを統合。SIEM との連携も検討 |
| NGAV を AV の代替と誤認して EDR を省略 | NGAV は防御(Prevention)特化。侵害後の可視性・調査機能は EDR が必須 | NGAV + EDR を併用(多くの製品は一体提供)。機能の役割分担を理解する |