Endpoint Threat Protection: NGAV, EDR, and XDR

article technology medium #endpoint#EDR#XDR#NGAV#CrowdStrike#脅威対策#サイバーセキュリティ
Created: 2026-05-31 Updated:

シグネチャ AV から NGAV・EDR・XDR への進化を俯瞰。Gartner MQ EPP 2025 Leaders の比較、Cortex XDR の ATT&CK 100% 検知、CrowdStrike 2024 年障害の段階展開教訓を解説。

エンドポイント脅威対策:NGAV・EDR・XDR

エンドポイントは攻撃者が組織へ侵入する主要な入口だ。かつてはシグネチャベースのアンチウイルス(AV)が防衛の主力だったが、ファイルレスマルウェア・ゼロデイ・高度な永続化手法の台頭により、振る舞いベースの検知と継続的な記録・調査・対応が不可欠となった。NGAV・EDR・XDR の三層を体系的に整理し、Gartner MQ 2025 の主要ベンダー比較と CrowdStrike 2024 年障害の教訓を踏まえて実践的に俯瞰する。情報カットオフ ~2025-08、confidence: medium 固定(2026-05 時点での外部再検証は未実施)。

エンドポイント防御の進化:シグネチャ AV から XDR へ

エンドポイント防御の歴史は検知能力の拡張の歴史だ。

シグネチャ AV(従来型アンチウイルス) は既知マルウェアのハッシュ・バイナリパターンと突合する。シグネチャが存在しない未知の脅威には無力で、ファイルレス攻撃(メモリ上で動作し、ディスクに痕跡を残さない攻撃)への対応も困難だ。

NGAV(Next-Generation AV) は機械学習と振る舞い分析を加え、未知の脅威や多形型マルウェアを検知する。シグネチャに依存しない点が最大の差異。

EDR(Endpoint Detection and Response) はリアルタイム記録・検知・調査・対応・ロールバックの統合機能を提供する。単なる防御ではなく「侵害後の可視性と対応」を重視する概念転換だ。

XDR(Extended Detection and Response) は EDR を起点に、ID・クラウド・ネットワーク・メールのテレメトリを統合し、クロスドメインで脅威を相関させる。2019 年に Palo Alto Networks が提唱し、2025 年にかけて業界全体で成熟した。

NGAV:振る舞い検知と ML によるシグネチャレス防御

NGAV の主な技術要素は以下の通り。

機械学習(ML)モデル は既知・未知を問わず実行ファイルの特徴量を評価し、マルウェア確率を算出する。エージェント内でオフライン推論可能なモデルを持つ製品は、インターネット接続がなくても機能する。

振る舞い分析(Behavioral Analysis) はプロセス起動・API 呼び出し・レジストリ変更・ネットワーク接続などの動的挙動を監視し、不審なパターンを検知する。シグネチャがなくても「悪意ある振る舞い」を捉えられる。

ファイルレス攻撃対策 は PowerShell / WMI / LOLBins(Living off the Land Binaries)を悪用するメモリ上の攻撃を対象とする。従来 AV はディスク上のファイルが検知起点のため、ファイルレス攻撃を見逃す。NGAV はプロセスのメモリ空間・スクリプト実行内容を監視して補完する。

EDR:継続的記録・検知・調査・対応

EDR は「侵害は起きる前提で、素早く検知・封じ込める」という考え方に基づく。

継続的テレメトリ記録

EDR エージェントはエンドポイント上のすべての重要イベント(プロセス生成・ファイル操作・レジストリ変更・ネットワーク接続・ログイン)を継続的に記録してクラウドへ送信する。この記録(テレメトリ)がインシデント調査の根拠となる。

CrowdStrike Falcon の単一軽量エージェントはカーネルレベルの可視性を持ちながら、パフォーマンス影響を最小化している(Q3 FY2025 で gross retention 97% 超)。

検知と MITRE ATT&CK マッピング

EDR は収集したテレメトリに対して検知ルール・ML モデルを適用し、アラート(Detection) を生成する。各アラートは MITRE ATT&CK フレームワークの戦術(Tactic)・技術(Technique)にマッピングされることで、「攻撃者が何をしているか」を構造化して理解できる。

Palo Alto Cortex XDR は 2024 年 MITRE ATT&CK Evaluations Enterprise において、設定変更ゼロ・防御の誤検知ゼロで technique レベル 100% 検知 を達成した唯一の製品として評価された。

調査(Investigation)とロールバック

EDR は「この端末でどんな経路で侵害が起きたか」を可視化するプロセスツリー・タイムライン表示を提供する。セキュリティアナリストはアラートを起点に、テレメトリを遡って攻撃の全体像を把握できる(Threat Hunting)。

ランサムウェア等による変更・暗号化のロールバック機能を持つ EDR 製品もある(SentinelOne Storyline Active Response / Rollback 等)。

XDR:クロスドメイン相関とクラウド・ID・ネットワークの統合

XDR は EDR のエンドポイントテレメトリに加え、次のドメインを統合する。

ドメイン
IDAzure AD / Entra ID のサインインログ・異常な認証
クラウドワークロードクラウドアプリのアクセスログ・設定変更
メールフィッシング・悪意ある添付ファイル
ネットワークファイアウォール / NDR のフロー・アラート

単一ドメインでは見えない攻撃チェーン(例:フィッシングメール → エンドポイント実行 → 横移動 → クラウドデータ窃取)をクロスソース相関で検出できる。

主要ベンダーの XDR アーキテクチャ

Microsoft Defender XDR(旧 Microsoft 365 Defender)は Defender for Endpoint(EDR)+ Defender for Identity + Defender for Office 365 + Defender for Cloud Apps を統合する。M365 E5 ライセンスに同梱されるため、E5 保有組織は EDR / XDR の限界費用がゼロとなる。Sentinel(SIEM)との連携で更に広域相関が可能。

CrowdStrike Falcon はクラウドネイティブ単一エージェントで、EDR・NGAV・脅威インテリジェンス・ID 保護(Falcon Identity Threat Protection)・クラウドセキュリティ(Falcon Cloud Security)を Falcon プラットフォームに統合する。

Palo Alto Cortex XDR は Cortex XDR + Prisma Cloud + XSIAM(セキュリティ運用プラットフォーム)として提供される。XSIAM は SIEM・SOAR・UEBA を統合した次世代 SOC プラットフォームを目指す。

Gartner MQ for EPP 2025:主要ベンダー評価

Gartner Magic Quadrant for Endpoint Protection Platforms(EPP)2025 での Leaders は以下の通り(2025 年時点、情報カットオフ ~2025-08):

ベンダー製品主な強み
CrowdStrikeFalconクラウドネイティブ・シングルエージェント。ID 保護・クラウドセキュリティを統合。gross retention 97% 超(Q3 FY2025)
SentinelOneSingularity Platform5 年連続 Leader。自律型 AI 検知・ロールバック機能。Storyline による攻撃グラフ
MicrosoftDefender for Endpoint6 年連続 Leader。M365 E5 同梱で E5 組織は限界費用ゼロ。Defender XDR との統合
Palo Alto NetworksCortex XDR2024 MITRE ATT&CK 100% technique 検知。XSIAM で SOC 統合
Trend MicroVision Oneハイブリッド環境の可視性。マネージドサービスオプション
SophosSophos EndpointMDR(Managed Detection and Response)との統合。中堅市場に強み

Bitdefender は唯一の Visionary ポジション。

MDR:セキュリティ運用の外部委託

MDR(Managed Detection and Response) は EDR / XDR のプラットフォームと人的アナリストをサービスとして提供する形態だ。24/7 の監視・調査・対応をアウトソースできるため、社内 SOC を持たない組織でも高度なエンドポイント防御が実現できる。

CrowdStrike(Falcon Complete)・SentinelOne(Vigilance MDR)・Sophos(Sophos MDR)等が商用 MDR サービスを提供している。

CrowdStrike 2024 年 7 月障害:エージェント更新リスクの教訓

2024 年 7 月 19 日、CrowdStrike Falcon Sensor の不具合コンテンツ更新(Channel File 291)が約 850 万台の Windows を BSOD(Blue Screen of Death)でクラッシュさせた。史上最大の IT 障害として記録されている。被害規模は数百億ドルとされる。

障害の技術的原因

Channel File 291 は IPC(Inter-Process Communication)テンプレートの入力フィールド数を定義するファイルで、更新版が 21 フィールドを参照したのに対し、コンテンツ検証ソフトウェアは 20 フィールドのみを検証した。不一致による境界外メモリアクセスがカーネルクラッシュを引き起こした。UTC 05:27 に更新が撤回されたが、既にクラッシュした端末は自動回復不可で手動復旧が必要だった。

教訓:エージェント更新の段階展開と検証

この障害は EDR エージェント更新のリスク を業界全体に突きつけた。エンドポイント防御製品はカーネルレベルのアクセスを持つため、不具合が端末全体の停止につながる。

重要な教訓:

  1. コンテンツ更新(シグネチャ・設定ファイル)もコードと同様に検証プロセスが必要。CrowdStrike はその後、コンテンツ検証の改善と段階展開の強化を公表した。
  2. リング展開(Canary → 段階展開 → 広域) はエージェント更新にも適用すべきだ。UEM(tech-130 参照)と同様のロールアウト管理が EDR 製品にも求められる。
  3. BCP(事業継続計画)における EDR エージェント障害シナリオ を組み込む。回復手順(セーフモード起動・ファイル削除の自動化)をあらかじめ文書化しておく。

アンチパターン(AP):よくある誤りと対策

アンチパターンリスク対策
EDR 導入 ≡ 安全と誤解EDR は検知・対応ツール。適切な設定・運用・調査なしには機能しない専任アナリストまたは MDR による継続的な監視・対応体制を整備
エージェント更新を段階展開なしに全展開CrowdStrike 2024-07-19 障害に代表される大規模障害リスクリング展開(Canary → Early Adopter → Broad)を UEM と同様に実施
アラート疲労で対応漏れ大量の低優先度アラートに埋もれて重要検知を見落とすSOAR による自動トリアージ。MITRE ATT&CK 重要度で優先フィルタリング
EDR 単体で ID・クラウドの盲点を放置エンドポイント外(クラウド API / ID プロバイダー)への横移動を検知できないXDR でクロスドメインテレメトリを統合。SIEM との連携も検討
NGAV を AV の代替と誤認して EDR を省略NGAV は防御(Prevention)特化。侵害後の可視性・調査機能は EDR が必須NGAV + EDR を併用(多くの製品は一体提供)。機能の役割分担を理解する

Local graph