ランサムウェア対策にEDRは有効なのか

はじめに：ランサムウェアは「誰もが狙われる時代」へ

近年、国内のランサムウェア被害は企業規模を問わず増加しています。
製造業、医療、流通・小売など、業界を問わず攻撃が発生し、日常的に報道される状況です。

多くの組織は情報システムなしに事業が成り立ちません。もしランサムウェア感染で 業務システムが1〜2か月停止すれば、事業継続そのものが危うくなります。
つまりランサムウェアは、現場の課題ではなく 経営リスク なのです。

この状況の中、対策としてよく名前が挙がるのが EDR（Endpoint Detection and Response） です。

「EDRって本当に効くの？」
「導入すればランサムウェアは止められるの？」

本記事では、国内事例を踏まえながら「EDRはランサムウェア対策として有効か？」を整理します。

---

結論：EDRは有効だが「魔法の盾」ではない

EDRは、攻撃の進行を遅らせ、検知・封じ込めのための仕組みとして有効です。

一方で、EDR単体でランサムウェアを完全に防ぐことができない事実もあります。

攻撃者は標的への侵入にあたり、多数の防御を掻い潜り暗号化の実行を目指します。

EDRは「万能な防御」ではなく、「多層防御の一部」であることに理解が必要です。

---

1. EDRを導入していても被害は発生する（国内事例）

実際、EDRを含むセキュリティ対策を講じていたにもかかわらず、
事業停止に至った事例は国内でも複数公表されています。

● アサヒグループホールディングス

発生日：2025年9月
事件概要：
ランサムウェアを含むサイバー攻撃によりシステム障害が発生。国内グループ各社の受注・出荷業務、コールセンター業務などに影響。
事業停止期間：
完全復旧は2026年2月以降になる見込みと発表されており、半年近い期間正常な業務が停止する状況となった。
EDRに関する状況説明：
公式発表ではEDR導入について説明あり。結果として攻撃の阻止はできなかった。

---

● ASKUL

発生日：2025年10月
事件概要：

外部からの不正アクセスを起点としたランサムウェア感染により基幹システム障害が発生。法人向け・個人向けサービス双方で受注・出荷業務を停止。
事業停止期間：
10月19日に障害を検知しネットワークを遮断。12月3日より一部商品の注文受付を再開。

少なくとも約1か月半にわたり事業に重大な影響。正常化にはそれ以上の期間を要する見込み。

EDRに関する状況説明：
同社から12月12日に公表された報告でEDRの利用を確認。
攻撃者は7月から企業内ネットワークに潜伏し攻撃を準備していたが、EDRによる阻止は叶わなかった。

これらの事例からEDRを導入していても被害が発生する可能性はあることが判ります。

---

2. なぜEDRが回避されるのか

EDRは端末上の不審な挙動を検知する仕組みです。
裏を返せば、攻撃者が「正規の操作に見える振る舞い」に成功したり、「EDRそのものを止める」ことに成功すれば回避されてしまいます。

以下はよくある回避の事例です。

■ 管理者権限の奪取 → EDR機能の停止・無効化

管理者権限を奪われると、EDRの停止や設定変更が可能になります。
先にEDRを無効化しランサムウェアが展開されるケースは少なくありません。

■ 正規ツールを悪用した攻撃（Living-off-the-Land）

正規ツールは「業務で使われている前提」があるため、単純なマルウェア検知よりも判断が難しくなります。

■ EDRの運用・除外設定の隙

EDRは脅威の検知に強みを持つツールです。一方で、運用を開始すると誤検知への対応が避けられません。
この対応を簡略化する目的で、監視対象外（除外）設定を過度に広げてしまうと、返って攻撃者が活動しやすい領域を自ら用意することになります。

---

3. どうしたら良いの？

多層防御という考え方

サイバー攻撃は、大まかに以下のような段階を経て進行します。

1. 偵察（外部から侵入に必要な情報を収集）
2. 侵入（標的の利用するネットワーク内へ入り込む）
3. 権限昇格（制限の少ないアカウントを掌握する）
4. 内部移動（標的のネットワーク内を調査、侵害範囲の拡大）
5. 攻撃の実行（ランサムウェアの場合：暗号化）

これらのプロセスに対し多数の網を張り攻撃を阻止する考え方が多層防御です。
防御層が増えれば攻撃の断念や検知の可能性を高めることができます。

多層防御の要素

• メール・Web対策
• 脆弱性管理・パッチ適用
• MFA（多要素認証）の導入
• 権限管理・特権IDの制御
• ネットワーク分離・セグメンテーション
• ベースライン管理・内部監査
• etc...

セキュリティ対策は実施して終わりではありません。
変更や運用の形骸化により、本来の効果を発揮できなくなる事に留意が必要です。

• 設定が当初の想定どおり維持されているか
• 不要な除外設定が増えていないか
• 監視や検知が正しく機能しているか

上記のような定期確認で、継続的に有効なセキュリティ対策を実施しましょう。

---

4. それでも完全阻止は不可能

サイバーBCPの整備

どれだけ対策を強化しても、被害の可能性をゼロにすることはできません。
事例に挙げたように、対策に莫大な投資をしている大企業でさえ、侵入を許しランサムウェアの被害に遭います。

そのため、侵害を前提とした サイバーBCP（事業継続計画） を策定し、有事へ備えることが重要となります。

• どのシステムが止まると事業に影響するか
• 復旧の優先順位
• 必要な人員・外部リソース、資金
• バックアップの実効性

本題ではないので深くは触れませんが、
サイバー攻撃に遭わないことよりも、攻撃を受けたあとに事業を継続・復旧できるかが、組織の命運を分けます。

サイバー攻撃の被害に遭わない保証は、どの組織にもありません。
だからこそ、いつ攻撃を受けても立て直せる準備をしておくことが重要です。

---

まとめ：EDR導入は「ゴール」ではない

EDRは有効です。
しかし、それ単体でサイバー攻撃の脅威は払拭できません。

重要なのは、多層防御と侵害を前提にしたサイバーBCPによる備えです。
攻撃者は待ってくれません。明日起こるかもしれないサイバー攻撃から自組織を守りましょう。