先に結論を書く。EDRの選定で最初に決めるべきは製品名ではなく、「検知した後、誰が対応するか」だ。 セキュリティ専任者がいない会社(情シス不在・総務兼任)は、EDR単体ではなく MDR(監視・対応の運用込みサービス)を前提に選ぶのが実質的に一択 である。EDRは「入れたら守ってくれる箱」ではなく、日々上がってくるアラートを人間が判断して初めて機能する仕組みだからだ。体制別の結論は次のとおり。
横にスクロールして確認できます
| 自社の体制 | 結論 | 理由 |
|---|---|---|
| 情シス不在(総務・経理が兼任、または誰もいない) | MDR(運用込み)一択。EDR製品単体の比較に時間をかけない | アラートを判断できる人が社内にいない。深夜・休日の検知に誰も気づけない |
| 兼任情シス1名 | MDR前提でEDRを選定。日中の一次確認は社内、監視と対応判断は外部 | 1名では24時間監視は物理的に不可能。休暇・退職で防御が止まる体制は経営リスク |
| 専任情シス2名以上 | EDR自社運用も選択肢。ただし夜間・休日の対応設計を先に固める | 平日日中しか見られないなら、攻撃者が好む深夜帯が無防備になる |
| Microsoft 365 Business Premium契約済み | まずDefender for Business(追加費用なしで含まれる)の有効化を検討 | すでに支払っているライセンスにEDRが含まれている。運用体制の課題は同様に残る |
この記事は、EDRの導入を検討し始めた中堅・中小企業の経営者・決裁者——「アンチウイルスとの違いがよく分からない」「入れても運用できるのか不安」という段階の読者——に向けて書いている。製品比較の前に、まず用語の整理と「経営者が見落としやすい落とし穴」から入る。自社のセキュリティ投資全体の優先順位から考えたい場合は、中小企業のセキュリティ対策費用と優先度の考え方を併せて参照してほしい。
なぜ今EDRなのか——アンチウイルスだけでは防げない攻撃が主流になった
IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」組織編では、ランサム攻撃による被害が11年連続11回目の1位、サプライチェーン攻撃が2位となった(出典:IPA 情報セキュリティ10大脅威 2026)。11年間ずっと1位ということは、対策が普及してもなお攻撃側が優位を保ち続けているということであり、その理由の一つが「従来型アンチウイルスをすり抜ける攻撃手法の一般化」だ。
従来のアンチウイルスソフト(EPP:Endpoint Protection Platform)は、既知のマルウェアのパターン(シグネチャ)との照合が検知の中心である。ところが現在の攻撃は、そもそも「マルウェアのファイル」を置かないことが多い。
横にスクロールして確認できます
| 攻撃手法 | EPP(従来型アンチウイルス) | EDR |
|---|---|---|
| 既知マルウェア | ◎ 検知できる | ◎ 検知できる |
| ファイルレス攻撃(PowerShell等の悪用) | × 照合すべきファイルがない | ◎ 挙動の異常で検知 |
| 正規ツールの悪用(Living off the Land) | × 正規ツールなので素通り | ○ 使われ方の異常を検知 |
| 未知の脆弱性を突く攻撃 | × パターン未登録 | ○ 振る舞い分析で検知 |
| ランサムウェアの暗号化開始 | △ 気づいた時には被害拡大 | ◎ 暗号化の挙動を検知・隔離 |
例えるなら、EPPは「指名手配写真を持った門番」であり、写真にない相手は通してしまう。EDRは「館内の監視カメラと不審行動の検知員」であり、入ってしまった相手の挙動を追い、異常があれば部屋(端末)ごと封鎖する。「侵入を100%防ぐ」発想から「侵入されても被害を最小化する」発想への転換が、EDRが必要とされる本質である。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
EPP・EDR・MDR・XDRの違い——決裁者が押さえるべき4つの用語
ベンダーの提案書にはEPP・EDR・MDR・XDRという似た略語が並ぶ。決裁者として押さえるべき違いは「何を検知するか」ではなく「誰が対応するか」と「どこまで見るか」だ。
横にスクロールして確認できます
| 用語 | 正体 | 対応するのは誰か | 経営者向けの一言 |
|---|---|---|---|
| EPP | 従来型アンチウイルス。既知の脅威の侵入防止 | 製品が自動でブロック | 「門番」。今も必要だが、これだけでは足りない |
| EDR | 端末の挙動を記録・分析し、侵入後の脅威を検知・隔離するツール | 自社の担当者(ここが盲点) | 「監視カメラ」。見る人がいなければ録画されるだけ |
| MDR | EDRの監視・分析・対応判断を専門家が代行するサービス | 外部の専門チーム(24時間365日) | 「警備会社との契約」。人がいない会社はここまで含めて買う |
| XDR | 端末に加えメール・クラウド・ネットワークまで検知範囲を広げた拡張版 | 製品による(運用が要るのはEDRと同じ) | 「館内カメラを敷地全体カメラに拡張」。範囲が広がるほど運用負荷も増える |
つまり、EDRとMDRは「ツール」と「サービス」であって対立する選択肢ではない。中小企業の実務では「どのEDRを買うか」より「MDRを付けるか、誰に運用を任せるか」のほうが成否を左右する。 この視点を持たずに製品カタログの検知率比較から入ると、次に述べる落とし穴に落ちる。
経営者が知らない落とし穴——EDRは「入れたら終わり」ではなく、アラート運用が本体
EDR導入の失敗パターンで最も多いのは、製品選びの失敗ではなく「導入して放置」だ。具体的にはこうなる。
- アラートは毎日来る。 EDRは挙動ベースで検知するため、正規の業務操作(IT資産管理ツールの配布、バックアップソフトの動作など)も「不審な挙動」として通知することがある。導入直後は特に多い。
- 誰も判断できない。 「このアラートは無視してよいのか、即対応すべきなのか」の判断には、攻撃手法とその環境固有の事情の両方の知識が要る。兼任担当者には荷が重い。
- 通知が無視されるようになる。 誤検知への対応(除外設定のチューニング)をしないまま数週間経つと、アラートメールは「開かないフォルダ」行きになる。
- 本物の検知が埋もれる。 ランサムウェアの侵入は金曜夜や連休前が狙われやすい。誰も見ていない時間帯に本物のアラートが上がり、月曜朝には暗号化が終わっている——EDRは正しく「検知」していたのに、である。
この状態は、警報装置は鳴っていたのに警備員がいなかったのと同じであり、投資額がそのまま無駄になる。しかも経営層からは「EDRを入れたのだから安全になった」と見えているぶん、無防備な状態より危険ですらある。
だからEDRの稟議では、ライセンス費用と同時に次の3点の答えを求めるべきだ。
- 平日日中のアラート一次対応は誰がやるか(担当者名で答えられるか)
- 夜間・休日の検知には誰が気づき、誰が隔離の判断をするか
- 誤検知のチューニングを最初の1〜3カ月、誰が回すか
3つとも社内で答えられないなら、EDR単体ではなくMDR(運用込み)を選ぶか、外部の運用伴走を組み合わせるのが合理的だ。GXOでも月額でのセキュリティ運用伴走として、アラートの一次判断や月次の棚卸しを継続支援する形を用意している。「入れたが回っていない」状態を防ぐには、導入前にこの体制を決めてしまうことが最も安上がりである。
主要7製品の比較——提供形態・MDRの有無・公開価格(2026年7月時点)
以下は各社公式サイトで2026年7月時点の情報を確認した比較である。注意してほしいのは、法人向けEDRの多くは価格を公開しておらず「要問合せ」が普通だという点だ。ネット記事に載っている「1台あたり月額◯円」の多くは特定時点・特定条件の代理店見積もりであり、そのまま予算根拠にすべきではない。ここでは公式に公開されている価格のみを記載する。
横にスクロールして確認できます
| 製品 | 提供形態 | EDR/XDR | MDR(運用込み)の提供 | 公開価格(2026年7月時点) |
|---|---|---|---|---|
| Microsoft Defender for Business | クラウド。ユーザー単位ライセンス(1ユーザーにつき5台まで)、300ユーザーまでの中小企業向け | EDR搭載(自動調査・修復、攻撃の自動阻止) | 本体には含まれない(パートナー経由で別途) | 449円/ユーザー/月(年間契約・税抜)。Microsoft 365 Business Premium(3,298円/ユーザー/月)に含まれる |
| CrowdStrike Falcon | クラウド。デバイス単位 | 詳細なEDR機能はFalcon Enterpriseに含まれると公式価格ページで案内 | Falcon Complete Next-Gen MDR(24時間365日)あり。価格は要問合せ | Falcon Go 59.99ドル/デバイス/年、Pro 99.99ドル、Enterprise 184.99ドル(日本向け公式ページでも米ドル建て表示) |
| SentinelOne Singularity | クラウド。エンドポイント単位 | 全パッケージにEPP+XDR。上位ほどデータ保持期間が長い | MDRアドオンあり(Commercialにはマネージド脅威ハンティング含む) | Core 69.99ドル、Complete 179.99ドル、Commercial 229.99ドル/エンドポイント/年(米国公式サイト表示)。Enterpriseは要問合せ |
| Sophos Endpoint(Intercept X) | クラウド | EDR/XDR搭載 | Sophos MDR(24時間365日、脅威ハンティング・フルインシデント対応)あり | 要問合せ(公式サイトに価格表なし) |
| ESET PROTECT | クラウド/オンプレ。国内はキヤノンマーケティングジャパングループが販売 | プランにより搭載範囲が異なる(公式のプラン比較で要確認) | MDR付きプラン(24時間監視)あり | 要問合せ |
| Cybereason | クラウド。日本語対応管理画面 | EDR(攻撃全体を「MalOp」として可視化) | MDRサービスあり | 要問合せ |
| トレンドマイクロ(TrendAI)Vision One Endpoint Security | クラウド(Vision Oneプラットフォーム統合) | ネイティブEDR/XDR搭載 | Managed Detection and Response(24時間365日)あり | 要問合せ |
(各製品の出典公式ページは記事末尾「参考情報」に一覧化した。)
比較表の読み方——中小企業の決裁者が見るべきポイント
1. ライセンス単位の違いは総額を大きく変える。 Defender for Businessは「ユーザー単位・1人5台まで」なので、1人がPCとスマホを持つ会社では実質1人分の課金で複数台カバーできる。デバイス単位課金の製品とは、端末台数とユーザー数の比率次第で総額の力関係が変わる。見積もり比較は必ず「自社のユーザー数と端末台数」を先に固定してから行うべきだ。
2. Microsoft 365 Business Premium契約済みなら、まず棚卸しを。 すでにBusiness Premiumを契約している会社は、Defender for Businessが含まれているのに有効化していない——つまり支払済みのEDRを使っていないケースが珍しくない。新規投資の前に、現契約に何が含まれているかの棚卸しが先である。
3. 「検知率No.1」の広告文句で選ばない。 検知性能を比較したいなら、ベンダーのマーケティング資料ではなくMITRE ATT&CK Evaluationsのような第三者評価の生データを参照すべきだ。ただし前述のとおり、中小企業の導入成否を分けるのは検知率の数%の差ではなく運用体制であり、検知率比較に選定時間の大半を使うのは優先順位を誤っている。
4. MDRの中身は「どこまでやってくれるか」で大差がある。 同じ「MDR」でも、通知して終わり(監視のみ)、遠隔で隔離まで実施、封じ込め後の調査・復旧まで支援、と範囲はまちまちだ。契約前に「ランサムウェアの挙動を深夜2時に検知したとき、御社は何をどこまでやるのか」を具体的に文書で確認してほしい。
選定チェックリスト——見積もり依頼の前に埋めるべき項目
製品デモや相見積もりに進む前に、以下を自社で埋めておくと選定の精度と速度が大きく上がる。埋められない項目こそが自社の弱点である。
運用体制
- アラートの一次確認担当者を氏名で決めたか(兼任なら本来業務との優先順位も)
- 夜間・休日の検知に対応する手段を決めたか(MDR委託/輪番/「対応しない」という意思決定も含めて明文化)
- 担当者の退職・長期休暇時に運用が止まらない設計か
- 導入後1〜3カ月の誤検知チューニングを誰が行うか決めたか
既存資産との相性
- 現在のアンチウイルスとの共存可否・切替手順を確認したか(多くのEDRはEPP機能を内包するため、既存製品のアンインストールか無効化が必要になる)
- 対象端末のOSと台数を棚卸ししたか(Windowsのバージョン、macOS、Linuxサーバー、スマートフォンの扱い)
- サポート終了OSの端末が残っていないか(Windows 10は2025年10月にサポート終了済み。EDRを入れてもOS自体の脆弱性は残る)
- Microsoft 365等の既存契約に含まれるセキュリティ機能を棚卸ししたか
ログ保持と説明責任
- 検知ログ・端末アクティビティの保持期間は何日か確認したか(インシデント調査では数週間〜数カ月前まで遡る必要が出る。保持期間が短いプランでは「いつから侵入されていたか」が特定できない)
- 取引先や監査からセキュリティ体制の説明を求められたとき、EDRの検知・対応記録を提出できる形式か
インシデント発生時の対応
- 検知から封じ込めまでを誰がやるのか、契約書・SLAレベルで確認したか
- 封じ込め後の調査・復旧・再発防止まで支援する窓口があるか(MDRの契約範囲外なら、インシデント対応支援の窓口を平時に確保しておく。有事に初めてベンダーを探すのが最悪のパターンだ)
- 経営層への報告・取引先への通知・警察や所管庁への相談を含む初動手順書があるか
導入ステップと費用の考え方
導入は4ステップで進める
- 現状把握(1〜2週間):端末・OS・既存契約の棚卸し、守るべきデータと業務の特定。ここが曖昧なまま製品比較に入ると、見積もりの前提が揃わず比較にならない。
- 体制決定(経営判断):自社運用かMDRか、夜間休日をどうするか。本記事の結論表とチェックリストで方針を固める。
- 製品・サービス選定(2〜4週間):体制方針に合う2〜3製品に絞って見積もり・PoC(試用)。多くの製品に無料試用期間がある。
- 段階導入と初期チューニング(1〜3カ月):一部部署から展開し、誤検知の除外設定を育ててから全社展開する。初日から全台一斉は、アラートの洪水で運用が崩壊しやすい。
費用は「ライセンス」ではなく「ライセンス+導入+運用」の3層で見る
公開価格だけで判断すると、後から運用費用に驚くことになる。EDRの総コストは次の3層で構成される。
横にスクロールして確認できます
| 費用の層 | 中身 | 見落としやすい点 |
|---|---|---|
| ライセンス費 | 製品の年額/月額(公開価格または見積もり) | ユーザー単位かデバイス単位かで総額が変わる。EDR機能が上位プラン限定の製品もある |
| 導入・初期設定費 | エージェント配布、ポリシー設計、既存製品からの切替 | 自社対応なら0円だが担当者の工数が実費。外部委託なら初年度のみ発生 |
| 運用費 | MDR/監視委託の月額、または社内担当者の工数 | 最大かつ恒常的な費用。ここを0円と置いた稟議は「導入して放置」の予約である |
参考として、公式に価格が公開されている範囲で言えば、Defender for Businessは449円/ユーザー/月(年間契約・税抜)、CrowdStrike Falcon Goは59.99ドル/デバイス/年である。これに対しMDRや運用込みサービスの価格はほぼすべて個別見積もりであり、「EDRライセンスの何倍か」ではなく「自社の体制の穴をいくらで埋めるか」として評価するのが正しい。セキュリティ投資全体の中でEDRにいくら割くべきかは、会社の規模と既存対策の状況によって変わる——この優先順位の付け方は中小企業のセキュリティ対策費用と優先順位の考え方で詳しく整理している。
補助金は使えるが、「EDRなら何でも対象」ではない
2026年度の公的支援としては、まずデジタル化・AI導入補助金2026(旧IT導入補助金)のセキュリティ対策推進枠がある。補助率は中小企業1/2以内・小規模事業者2/3以内、補助額は5万〜150万円、サービス利用料は最大2年分が対象だ。ただし対象となるのはIPAの「サイバーセキュリティお助け隊サービスリスト」に掲載されたサービスであり、任意のEDR製品のライセンスが対象になるわけではない(出典:デジタル化・AI導入補助金 セキュリティ対策推進枠)。「補助金が使える前提」で製品を選んでから対象外と判明する手戻りが実際に起きやすいので、対象リストの確認を選定プロセスに組み込んでほしい。
都内の中小企業であれば、東京都中小企業振興公社のサイバーセキュリティ対策促進助成金(助成率1/2以内、上限500万円・下限10万円)も選択肢になる(出典:東京都中小企業振興公社 サイバーセキュリティ対策促進助成金)。いずれも公募時期・要件は年度内でも変わるため、申請前に必ず最新の公募要領を確認すること。
FAQ——EDR導入検討でよくある質問
Q1. アンチウイルスソフトを入れていれば、EDRは不要ではないか?
不要ではない。役割が違う。アンチウイルス(EPP)は既知の脅威の侵入防止、EDRは侵入後の検知・対応であり、現在主流のファイルレス攻撃や正規ツール悪用はEPPでは原理的に検知しにくい。IPAの10大脅威でランサム被害が11年連続1位であり続けている事実は、「入口対策だけでは止まらない」ことの裏付けでもある。なお多くのEDR製品はEPP機能を内包しているため、実際の導入では「両方買う」のではなく「EPP内包型のEDRに置き換える」形が一般的だ。
Q2. 従業員50名、情シス不在。うちでもEDRを運用できるか?
EDR「製品」の自社運用は現実的でない。アラートの判断ができる人がいない状態でツールだけ入れても、警報が鳴り続ける無人の警備室が増えるだけだ。この規模・体制なら、24時間監視と対応判断が含まれるMDR、または運用を外部に伴走してもらう形を最初から選ぶべきである。逆に言えば、MDRを組み合わせれば情シス不在でもEDRの効果は十分に得られる。
Q3. 費用はどのくらい見込めばよいか?
公式公開価格があるのはDefender for Business(449円/ユーザー/月・年間契約・税抜)、CrowdStrike Falcon(Falcon Go 59.99ドル/デバイス/年〜)、SentinelOne(Core 69.99ドル/エンドポイント/年〜、米国公式サイト表示)などで、その他の多くは要問合せだ。予算化の際はライセンス費だけでなく、初期設定費と運用費(MDR月額または社内工数)を含めた3層で見積もること。運用費を0円と置いた予算は、導入後に「誰も見ていないEDR」を生む。
Q4. 補助金でEDRを導入できるか?
条件付きで可能だ。デジタル化・AI導入補助金2026のセキュリティ対策推進枠(補助率1/2〜2/3、5万〜150万円、サービス利用料最大2年分)は、IPAの「サイバーセキュリティお助け隊サービスリスト」掲載サービスが対象であり、検討中のEDR・MDRがリストに載っているかの確認が先決である。東京都には上限500万円の助成金もある。いずれも「補助金ありき」で製品を歪めて選ぶと本末転倒なので、まず体制方針を決め、その方針に合う選択肢の中で補助対象を探す順序を勧める。
Q5. 検知率が最も高い製品を選べば安心か?
安心ではない。第三者評価(MITRE ATT&CK Evaluations等)で検知性能を確認すること自体は正しいが、中小企業のEDRが機能しない原因の大半は検知率ではなく、検知した後に誰も動かない運用の穴だ。検知率95点で運用ゼロ点の構成より、検知率85点でも24時間の対応体制がある構成のほうが実際の被害額は小さい。選定時間の配分を「製品2割・運用体制8割」に変えることを勧める。
Q6. 導入を決めてから稼働までどのくらいかかるか?
クラウド型EDRのエージェント配布自体は数日で終わるが、実務上の勝負は導入後1〜3カ月の初期チューニング(誤検知の除外設定)と運用定着である。既存アンチウイルスからの切替手順、段階展開の順序も含めると、計画から安定稼働まで2〜4カ月を見ておくと現実的だ。逆に「来週から全台一斉に」という提案には、アラート洪水への対応計画があるかを確認したほうがよい。
GXOに相談すべきタイミング
EDR導入は、製品を買う話ではなく「自社の検知・対応体制を設計する話」だ。次のいずれかに当てはまるなら、製品の見積もりを取る前の段階で一度相談してほしいというのがGXOの立場である。
- どの製品が合うか以前に、自社の現状(端末・既存契約・弱点)が整理できていない——まずセキュリティ診断で外部公開資産や既存対策の穴を可視化し、EDRが本当に今の最優先投資かを確認するのが先だ。診断の結果、EDRより先に塞ぐべき穴(VPN機器の脆弱性、退職者アカウントの放置など)が見つかることは珍しくない。
- ベンダーの見積もりや提案が妥当か、第三者の目で確認したい——売る側ではない立場から、ライセンス構成・MDRの契約範囲・SLAの穴をチェックする。
- 導入したが運用が回っていない——アラートの一次判断、誤検知チューニング、月次の脆弱性棚卸しまで含めたセキュリティ運用の月額伴走で、「入れて放置」状態を立て直す。
- すでに不審な挙動・感染の兆候がある——選定の話ではなく初動の話になる。インシデント対応支援へ直ちに連絡してほしい。封じ込めが1日遅れるごとに調査範囲と被害は広がる。
「EDRが必要そうだ、という段階で何を質問すればいいかも分からない」——その状態のままで構わない。端末台数とMicrosoft 365の契約状況が分かれば初回の議論はできる。お問い合わせ(無料相談)から現状を送ってもらえれば、体制に合う選択肢の絞り込みから一緒に進める。
参考情報(2026年7月時点で確認した公式ソース)
- IPA 情報セキュリティ10大脅威 2026
- Microsoft Defender for Business(日本公式・価格)
- CrowdStrike 価格ページ(日本語公式)
- SentinelOne Singularity パッケージ(米国公式)
- Sophos Endpoint(日本語公式)
- ESET法人向けラインアップ(キヤノン公式)
- Cybereason EDR(日本公式)
- トレンドマイクロ(TrendAI)エンドポイントセキュリティ(日本語公式)
- デジタル化・AI導入補助金2026 セキュリティ対策推進枠
- 東京都中小企業振興公社 サイバーセキュリティ対策促進助成金
※ 価格・プラン構成・補助金の要件は変更されることがある。導入判断の際は必ず各公式ページの最新情報を確認してほしい。







