「EDR・XDR・MDRの違いがわからない」問題を解決する
「ランサムウェア対策にEDRが必要と言われたが、XDRやMDRとの違いがわからない。どれを選べばいいのか…」という声はセキュリティ担当者から頻繁に聞かれます。
これらの用語は機能が似ているだけでなく、ベンダーによって定義が微妙に異なるため、余計に混乱しやすい状態です。本記事では、EDR・XDR・MDRそれぞれの機能・違い・主要製品の特徴・選び方のポイントを整理します。
まず整理:EPP・EDR・XDR・MDRの違い
セキュリティ製品の略語を整理するには、「検知・対応の範囲がどこまでか」という軸で考えると理解しやすくなります。
製品カテゴリ | 主な対象 | 主な機能 | 特徴 |
|---|---|---|---|
EPP(Endpoint Protection Platform) | エンドポイント(PC・サーバー) | マルウェア防止・既知脅威のブロック | 従来型アンチウイルスの進化版。既知の脅威に強い |
EDR(Endpoint Detection and Response) | エンドポイント | 未知脅威の検知・挙動分析・フォレンジック・隔離 | 端末上で起きていることを詳細に記録・分析 |
XDR(Extended Detection and Response) | エンドポイント+ネットワーク+クラウド+メール | 複数データソースの横断分析・統合対応 | EDRをネットワーク・クラウドに拡張した統合型 |
MDR(Managed Detection and Response) | XDRと同等(マネージドサービス) | XDRの機能+SOCアナリストによる24/7監視・対応 | ベンダーが運用まで担うアウトソーシング型 |
簡単な覚え方
- EPP: 門番(既知の敵を入り口で止める)
- EDR: 監視カメラ(端末内で起きていることをすべて記録する)
- XDR: 統合監視センター(端末・ネットワーク・クラウドを一元的に監視する)
- MDR: 監視センター+警備員常駐(XDRの仕組みに24/7の専門家を追加する)
EDRとは:エンドポイントの「行動記録係」
EDR(Endpoint Detection and Response)は、PC・サーバー・スマートフォンなどのエンドポイントにエージェントをインストールし、そのデバイス上で起きるすべての挙動を記録・分析するソフトウェアです。
EDRの主な機能
- リアルタイム挙動監視: ファイルの作成・プロセスの実行・レジストリ変更・ネットワーク通信をすべて記録
- 脅威ハンティング: 記録したテレメトリデータを分析して未知の脅威を発見
- アラート・可視化: 不審な挙動を検知したらアラートを発出し、攻撃タイムラインを可視化
- インシデント対応: 感染端末を自動隔離、プロセスの強制終了、ファイル削除
- フォレンジック: 攻撃の全体像を追跡・証拠保全
EDRが解決する問題
従来型アンチウイルス(EPP)は、既知のマルウェアのシグネチャ(特徴)に一致するものをブロックします。しかし、ファイルレスマルウェア(メモリ上だけで動作する)・ゼロデイ攻撃・正規ツールを悪用した攻撃(Living off the Land: LotL)はシグネチャ検知では検知できません。EDRはこうした「見えない攻撃」を行動パターンで検知するために設計されています。
XDRとは:EDRの「視野を広げた」統合プラットフォーム
XDR(Extended Detection and Response)は、EDRが扱うエンドポイントデータに加えて、ネットワーク・クラウド・メール・Active Directory/Entra IDなど複数のデータソースを横断的に分析します。
XDRがEDRより優れている点
例: 攻撃者がフィッシングメールでマルウェアを送り、感染端末からクラウドストレージに不正アクセスし、データを外部に送信するというシナリオを考えます。
- EDRのみ: 感染端末での不審プロセスは検知できるが、メールの受信→クラウドへの不正アクセスという全体の攻撃ストーリーは見えにくい
- XDR: メール受信・エンドポイント侵害・クラウドアクセス・外部送信をすべて相関分析して、1つのインシデントとして可視化できる
XDRのアーキテクチャパターン
タイプ | 説明 | 代表製品 |
|---|---|---|
ネイティブXDR | 同一ベンダーの製品スイートを統合 | Microsoft Defender XDR、CrowdStrike Falcon |
オープンXDR / ハイブリッドXDR | 異なるベンダーの製品を統合できる | Palo Alto Cortex XDR、Trellix XDR |
注意: ネイティブXDRは同ベンダー製品との連携が容易ですが、他社製品との統合に制約がある場合があります。既存のセキュリティ製品との互換性を事前に確認することが重要です。
MDRとは:XDR機能+SOCアナリストのマネージドサービス
MDR(Managed Detection and Response)は、XDRと同等の技術基盤に、24時間365日のSOCアナリストによる監視・分析・対応を加えたアウトソーシングサービスです。
MDRとSOCサービスの違い
比較軸 | MDR | SOCサービス |
|---|---|---|
提供形態 | 製品+マネージドサービスが一体 | 監視サービスのみ(製品は別途) |
対応範囲 | エンドポイント中心(+ネットワーク) | ログ全般(SIEM連携) |
適した規模 | 中小〜中堅企業 | 中堅〜大企業 |
初期費用 | 低め(製品選定不要) | 高め(SIEM構築含む) |
主要製品の比較【2026年版】
国内外で多く導入されているEDR/XDR製品
製品名 | 提供元 | 特徴 | 月額目安(100端末) |
|---|---|---|---|
CrowdStrike Falcon | CrowdStrike | 業界最高水準の検知精度・軽量エージェント・XDR機能含む | 50万〜120万円/月 |
SentinelOne Singularity | SentinelOne | AIベースの自律型検知・XDR/MDR対応・ロールバック機能 | 40万〜100万円/月 |
Microsoft Defender for Endpoint | Microsoft | Microsoft 365 Business Premium(約4,500円/ユーザー)に含まれる。Entra ID・M365との統合が強力 | M365ライセンスに含まれる |
Trend Micro Vision One | Trend Micro | 国内シェア高め・XDRプラットフォーム・日本語サポート充実 | 30万〜80万円/月 |
Sophos Intercept X + MDR | Sophos | MDR付き・中小企業向け・比較的低コスト | 20万〜50万円/月 |
自社に合った製品の選び方
規模・状況別の推奨
中小企業(〜100名)・社内専任担当がいない場合
→ Microsoft Defender for Business(M365 Business Premiumに含まれる)+ MDRサービスの組み合わせが費用対効果◎
中小〜中堅企業(100〜500名)・専任担当1〜2名
→ SentinelOne または Sophos Intercept X でEDR導入し、アラート対応は社内担当が行う
中堅〜大企業(500名〜)・SOCあり
→ CrowdStrike Falcon または Microsoft Defender XDR(Entra IDとの統合を考慮)でXDR環境を構築
製品選定時の確認ポイント
- 既存のSIEM / SOCとの連携 — ログをSIEMに転送できるか
- Entra ID / Active Directoryとの統合 — IDとエンドポイントを相関分析できるか
- エージェントの軽さ — 業務PC(RAM 8GB以下)でも動作するか
- 誤検知率(False Positive率) — アラートが多すぎると運用負荷になる
- 日本語サポートの質 — インシデント時に日本語で迅速に対応してもらえるか
まとめ:EDRは最低限、XDRで全体を可視化する
2026年現在、従来型アンチウイルスだけではランサムウェア・標的型攻撃に対応できません。最低限EDRを全端末に導入し、予算とリソースが許せばXDRで全体の可視性を確保することが推奨されます。
社内に24/7監視を担えるSOC体制がない場合は、MDRサービスの活用が現実的な選択肢です。まずはMicrosoft 365 Business PremiumのDefender for Businessから始め、段階的に上位製品に移行するアプローチもあります。
AEVUSでは、EDR/XDR導入後の設定検証・ペネトレーションテスト・インシデント対応支援を提供しています。「導入したが正しく機能しているか不安」という方はお気軽にご相談ください。
