EDR所有組織は、大半が「EDRを使いこなせていない」と認識――ソフォスが調査結果を発表：世界中で約3割が所有

ソフォスは、2018年12月から2019年1月にかけ、日本の200人を含む3100人の世界中のIT意志決定者に「EDRの重要性」について調査した結果を説明した。

[宮田健，＠IT]

　ソフォスは2019年6月19日、同社が第三者機関を通じて調査した「EDR（Endpoint Detection and Response）の重要性」に関する記者説明会を開催した。2018年12月から2019年1月にかけ、日本の200人を含む3100人の世界中のIT意志決定者にインタビューした結果を、EDR利用という観点でまとめたものだ。

EDR所有組織では、非所有組織と比べて潜伏期間や調査時間が短くなる傾向に

　ソフォス エンタープライズ営業本部 セキュリティソリューションエバンジェリストの佐々木潤世氏によると、「サイバー攻撃の被害に遭った企業の平均（被）攻撃回数」は2回で、一度攻撃された企業は再攻撃される傾向があることが、調査結果から分かったという。「攻撃はサーバ、またはネットワークで検出されることが多い。EDRをサーバにも適用する必要がある」

ソフォス エンタープライズ営業本部 セキュリティソリューションエバンジェリスト 佐々木潤世氏

　今回の調査では、Sophos製品に限らずEDRを有している組織（以下、EDR所有組織）と、EDRを有していない組織（以下、非所有組織）として、2群に分けた結果をグラフ化している（EDR所有組織は世界中で全体の約3割）。その結果、被害に遭った回数はEDR所有組織の方が少なく、感染端末台数も少ない傾向が出ている。

EDR所有組織は非所有組織に比べると、被害に遭った回数が少ない傾向にある。「EDR所有組織は被害の前段階で対処が行えている」とソフォスは推測する

感染端末の台数。EDR所有組織の方が少ない傾向に

　また、「組織が2018年に受けた中で最も重大なサイバー攻撃は、検知される前に、どのくらいの期間潜伏していたと考えるか」という問いに対しては、「1時間より少ない」または「1〜4時間」という回答が、EDR所有組織の方が多くなっており、非所有組織よりも早めに検知できているという結果が出ている。

潜伏していたと思われる期間も、EDR所有組織の方が短い傾向に

潜在的なセキュリティインシデント調査にかける時間。EDR所有組織の方が短い傾向に

大半が「EDRを使いこなせていない」と認識

　さらに調査結果では、EDR所有組織に対して「有効に利用していると思うか」と質問している。この問いの回答としては「使いこなしている」「まぁまぁ使いこなしている」の合計が40％程度となっており、大半が使いこなせていないと認識しているという。

　「多くの組織は、EDRを使いこなせるようになれば、より効果が上がると考えている。SophosとしてもレポートやUIなど、分かりやすいEDRソリューションを提供できるように開発を進めることで、今までセキュリティに費やしていたワークロードを減らすことができるのではないだろうか」

「EDRを使いこなしている」と答える組織は半数以下であるのが現状だ