EDR / XDR

エンドポイントの操作を常時記録し、侵入後の不審な挙動を検知して調査・対応（封じ込め）する仕組み。「侵入される前提」で EPP の次の砦。XDR は対象をネットワークやクラウドまで広げたもの。

TL;DR要点だけ先に

1.侵入後の不審な挙動を検知し対応する仕組み。
2.“侵入前提”で EPP の次の砦。XDR は範囲を拡張。
3.標的型・ランサム対策と調査（フォレンジック）に。

Core Facts

基本情報

EDR / XDRエンドポイントの操作を常時記録し、侵入後の不審な挙動を検知して調査・対応（封じ込め）する仕組み。「侵入される前提」で EPP の次の砦。XDR は対象をネットワークやクラウドまで広げたもの。
役割: 検知 / 調査 / 対応（封じ込め）
前提: 侵入後（Post-breach）
データ: 端末の操作ログ
発展: XDR（端末 + NW + クラウド）
選ばれる理由: 侵入後の不審な挙動を可視化感染端末を隔離して封じ込め
主な利用シーン: 標的型・ランサム対策インシデント調査・対応 / SOC / MDR 運用

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

侵入後の不審な挙動を可視化
感染端末を隔離して封じ込め
調査（フォレンジック）に強い

Trade-offs

考慮すべき点

運用・分析に専門知識が要る（→ MDR）
アラート対応の負荷が大きい
EPP との併用が前提

Deep Dive

もっと詳しく

何を守るのか

EDR（Endpoint Detection and Response）は、端末（エンドポイント）の操作を常時記録し、侵入された後の不審な挙動を検知して、調査・対応まで行う仕組みです。「いつ何が起きたか」を追跡できることが核心で、攻撃の発見と封じ込めを支えます。

前提が EPP とは異なります。EDR は「防ぎきれず侵入される」ことを織り込み、その後の被害を最小化する次の砦として位置づけられます。

仕組み・位置づけ

EDR エージェントは端末上で、プロセスの起動、ファイル操作、通信、ログインなどの活動を継続的に記録します。集めたデータを分析し、攻撃の兆候を見つけ出します。

不審な挙動を検知し、アラートを上げる。
攻撃の経路や影響範囲を時系列で追跡（調査）できる。
該当端末をネットワークから隔離するなど、封じ込めの対応を行う。

EPP との違い

役割の境界を押さえると理解しやすくなります。

EPP は侵入を「防ぐ」。脅威の実行前に止めるのが目的。
EDR は侵入「後」を担当。検知・調査・対応に重きを置く。

EPP がドアの鍵なら、EDR は室内の監視カメラと初動対応に近いものです。両者は同じエージェントに統合され、連携して使われることが一般的です。

XDR への拡張

XDR（Extended Detection and Response）は、EDR の考え方を端末だけにとどめず、対象を広げたものです。ネットワークやメール、クラウドなど複数の領域からデータを集め、横断的に相関分析します。これにより、単一の端末だけでは見えなかった攻撃の全体像をつかみやすくなります。