重要部門のサーバーだけEDRを入れれば十分では?」という声をよくいただきます。コスト意識としては自然な発想です。しかし実際のサイバー攻撃の動き方を踏まえると、この判断が組織全体のリスクを高める結果になりかねません。

今回は、EDRの部分導入が抱える構造的な問題を3つの観点から整理します。

1. 攻撃者は「守られていない入口」を狙う

現代の攻撃者は、最初から重要サーバーを直接狙いません。防御の薄い一般PCを脆弱性攻撃で足場にし、そこから段階的に権限を拡大していきます。

問題は、EDR未導入端末ではこの初期侵入がログに残らないことです。攻撃者はID/パスワードやアクセストークン等を盗み、正規の認証情報でサーバーにアクセスします。結果として、EDRを導入済みの重要サーバーは「正規ログイン」と判断してしまい、侵害を検知できない可能性があります。

部分導入で起きる攻撃フロー

  1. 最初の侵入:EDR未導入端末 → フィッシング・脆弱性攻撃で侵入、ログなしで検知不能
  2. 権限奪取:認証情報をキャッシュ → ID/PW・Kerberosチケットを盗み管理者権限を得る
  3. 横展開:重要サーバーへ侵入 → EDRは「正規ログイン」と判断し検知不能

 

図1 部分導入で起きる3段階の攻撃フロー

守るべきは「重要な端末」だけでなく、「システム全体へのアクセス権の連鎖」です。初期侵入の段階で検知できなければ、後段の防御は機能しません。

2. 見えない「運用コスト」が積み上がる

部分導入を選んだ場合、初期費用は確かに抑えられます。しかし運用フェーズで別のコストが発生します。

インシデント対応の長期化

未導入端末が感染源の場合、ログがないため調査が手作業になります。対応時間が数倍に膨らむことは珍しくありません。

管理作業の複雑化

人事異動やPC交換のたびに「EDR導入要否」の選別判断とインストール作業が発生します。全台一括で管理できる状態と比べて、継続的な工数が生じます。

資産管理との不整合

台帳と実際の導入状況を常に照合わせる必要があり、「全台管理」というシンプルな運用モデルのメリットが消えます。

図2 運用コストが増加する3つの構造

3. サプライチェーン要件への影響

取引先や監査機関によるセキュリティ評価では、組織全体のセキュリティレベルが問われます。ここで重要なのは、「最も脆弱なポイントが組織全体の評価になる」という点です。

万が一情報漏洩が発生した際に「どこから侵入されたか分からない」という状況は、管理能力への信頼を大きく損ないます。サプライチェーンセキュリティの要件を満たせず、取引停止や監査での不合格につながるリスクがあります。

全台導入であれば「全端末対応済み」を証明でき、評価基準を満たす根拠になります。

図3 サプライチェーンリスクと企業信用への影響

まとめ:全台導入で得られる3つの効果

部分導入のコスト削減効果は、運用コストの増加・インシデント対応コストの上昇・対外信用リスクと比較すると、トータルで優位とは言えないケースがほとんどです。全台導入が実現するのは次の3点です。

効果 内容
経営リスクの極小化 初期侵入からの連鎖を断ち切り、被害拡大を防止する
運用コストの削減 一元管理により選別作業・台帳照合わせ・調査工数を削減する
対外信用の向上 サプライチェーン要件を充足し、監査・評価でのプラス評価につなげる

図4 全台導入で実現する3つの改善

EDRの導入範囲を検討する際は、「どこを守るか」ではなく「どこから攻めてくるか」という攻撃者の視点で設計することが、実効性のあるセキュリティにつながります。