パソコンなどのネットワークの末端でセキュリティを行う仕組みが、EDRと言います。検出と対応を一つにしたパッケージです。末端にあるPCを監視して挙動がおかしくなったら、まずネットワークからの遮断を行います。これは他のPCに感染させないための対策です。

マルウエアは届いた時には、他の一般的なメールと変わりません。クリックした時に急に活動を初めて、個人情報を送信したり、データをブロックするようなことになります。EDRでネットワークから隔離されたPCでは、収集した情報からどのようなことが起きているのかを分析します。分析の結果でウィルスや問題となるファイルなどの特定が可能です。

特定できたファイルは、駆除して無効化します。元々のファイルがある場合には、復旧までを行います。これらの一連の対応が、一般的な流れです。少なくてもネットワークからの分離は、早ければ早いほど安心です。

その後の分析はできるだけ正確な方が、適切な対応を行うことが可能です。EDRは感染を防ぐためではなく、広げないことを目的とした仕組みです。ウィルスを持ち込まないことが一番ですが、巧妙に隠されたファイルから見つけ出すことが困難です。人が感染する実際のウィルスと同じで、被害を最小限にするためには、隔離することが重要です。

EDRで特定された情報が蓄積されると、ネットワークのフィルタにフィードバックされてさらに確実なセキュリティを構築することができます。