サイバー攻撃等によりセキュリティ侵害を受けた場合、どれほどの期間があれば対処できるのでしょうか。今日ではサイバー攻撃を完全に防ぐことは困難になってきており、攻撃に気付いてからいかに迅速に対応できるかが問われるようになりました。しかし、2016年のセキュリティ脅威を分析した「Mandiant M-Trends 2017」によると、調査対象の組織がセキュリティ侵害を検知するまでに要した時間の中央値は99日となっており、アジア太平洋地域に限定すると172日ということです。平均的な企業は3ヶ月から半年に渡り気付くことがないということです。これほどの期間もの間感染した端末を放置していれば、かなりの数にまで拡大する恐れがあり、攻撃者の思う壺となってしまいます。
次世代エンドポイントセキュリティであるEDRは、従来のエンドポイントセキュリティとはそもそもの考え方が異なるようです。EDRは「攻撃はされるものだ、侵害はされるものだ」という性悪説に基づいてセキュリティを行います。具体的にいうと、従来のアンチウイルス型のエンドポイントセキュリティは攻撃からの防御に重点を置いていました。シグネチャーやふるまい検知によってウイルスやマルウェアの特徴を照合し、それを検出・駆除することによって防御を行います。これに対し、EDRは攻撃を受けた後の検知・調査・原因分析を重視します。いち早く検知し可視化することで、侵害後の対応を迅速化し、被害を最小化することが狙いです。EDRに求められる機能は、大きく分けて次の3種類あるといいます。