結論:EDRは「導入した」ではなく「運用している」状態で初めて対策になる
セキュリティ対策で最も多い失敗のひとつが、EDRやセキュリティ製品を「導入した」時点で対策が完了したと思い込むことである。EDRは端末の不審な挙動を検知して通知する仕組みであり、検知の先にある「アラートを見る」「攻撃か誤検知かを切り分ける」「隔離・遮断を実行する」は人の仕事として残る。アラートを見る人、判断する人、夜間休日に動く人が決まっていなければ、EDRは検知しても止められない。導入と運用の落差こそが、この失敗の正体である。
- EDRの価値は検知そのものではなく「検知後に止められる」ことにあり、止めるのは製品ではなく運用体制である。
- アラートの監視・判断・対処の担当が決まっていなければ、検知は通知のまま流れて誰にも届かない。
- 攻撃は営業時間を選ばない。夜間・休日・連休の対応を誰が担うかは、導入時に決めるべき論点である。
- サイバー保険2026は、EDRの導入だけでなく24時間365日の監視運用までを事実上の要件としている。
- 自社で回せないなら、マネージドSOCやMDRへの委託を含めて「運用まで」を設計してから導入する。
本稿は連載「セキュリティ対策の失敗図鑑」の第1回である。この連載は、中堅・中小企業がつまずきやすいセキュリティの失敗を一つずつ分解する。同じ「備えたつもり」の失敗でも、バックアップがランサムウェアと一緒に暗号化される失敗はデータ保管の分離設計を、VPN機器のパッチ先送りは入口側の脆弱性管理を扱う。また、初動・報告フローの未整備が「有事に起きたとき、どの手順で動くか」の話であるのに対し、本稿が扱うのは「平時に誰が監視し、誰が判断するか」という体制の話である。有事の手順は、平時の監視体制があって初めて起動する。
なぜ「導入=対策済み」で止まるのか
検知は自動でも、判断と対処は人の仕事である
EDR(Endpoint Detection and Response)は、端末上の不審な挙動を検知し、調査と対処を可能にする仕組みである。名称にResponse(対処)が入っているとおり、検知して終わりの製品ではない。だがその対処を全自動でやってくれるわけでもない。アラートが上がったとき、それが実際の攻撃なのか誤検知なのかを切り分け、端末を隔離するか、ネットワークを遮断するか、様子を見るかを判断し、実行するのは人である。この「検知と対処の間」を埋める担当と手順がなければ、EDRの管理画面に検知履歴が並ぶだけで、攻撃は止まらない。アンチウイルスのように「入れておけば勝手に防いでくれる」というイメージのまま導入すると、この落差に気づかないまま運用が始まってしまう。
アラートは営業時間内だけ鳴るわけではない
攻撃者は、こちらの営業時間に合わせて動いてはくれない。むしろ対応が遅れる夜間・休日・連休は、攻撃側にとって都合のよい時間帯である。平日昼間は情シスがアラートを確認できても、金曜深夜の検知に月曜朝まで誰も気づかなければ、その間に侵害は社内へ広がりうる。ランサムウェアはネットワーク内で感染を広げながら暗号化を進めるため、検知から遮断までの時間が、そのまま被害範囲に直結する。「誰かが見ているはず」の「誰か」が、夜間休日には存在しない——この空白を設計段階で埋めていないことが、EDR導入企業に共通する典型的な穴である。
稟議が「導入費」で完結し、運用が予算化されない
組織側の要因も大きい。セキュリティ投資の稟議は「EDRライセンス費用」という導入費で起案され、承認された時点で社内的には「対策済み」の扱いになりやすい。だが実際の運用には、アラートを日々確認する工数、攻撃か誤検知かを判断できる人材の育成、あるいは外部委託費という継続コストがかかる。ここが予算化されないと、導入後の運用は情シス担当者の「兼任と善意」に依存し、アラート確認は他業務に押し流されていく。経営層への報告が「EDR導入完了」で締まってしまうと、運用の不在は次のインシデントが起きるまで表面化しない。導入の意思決定をする時点で、「入れた後、誰が・いくらで回すのか」まで含めて承認することが、この失敗を避ける起点になる。
「導入」と「運用」は別物——それを示す二つの事実
サイバー保険2026はEDRの「導入」でなく「24時間365日の監視運用」を求める
導入と運用が別物であることは、リスクを金銭で評価する保険会社の動きに表れている。国内大手損保各社は2025年後半から2026年にかけてサイバー保険の約款を改定し、EDR・MFA・バックアップの3点セットが新規加入・更新の事実上の前提条件になった。注目すべきはEDR要件の中身である。全従業員端末への導入に加えて、自社SOCまたはMDR委託による24時間365日の監視運用、さらにインシデント対応プレイブックの整備までが求められている。つまり保険会社は「EDRを買ったか」ではなく「EDRを回せているか」で企業のリスクを評価している。3点セット未対応の場合は審査通過率が大幅に低下し、対応済みでも従業員規模・業種によっては保険料が従来の2〜3倍になるケースがある。詳細はサイバー保険2026年の引受条件厳格化で整理しているが、「導入すれば対策済み」という社内の認識と、「運用まで含めて初めて対策」という外部の評価基準は、すでに大きく乖離している。
コタ社の事例:検知後の「全遮断」という初動が事業継続を左右した
検知後に動ける体制の価値を示すのが、東証プライム上場のコタ株式会社の開示である。同社の適時開示によれば、2026年3月27日に一部の社内PC端末の動作不良を確認し、即座に社内調査を実施。第三者による不正アクセスが確認されたため、被害を最小限にとどめるために全サーバ・全社内PC端末等をネットワークから遮断する措置を講じたとしている。6月5日の第4報で、一部のサーバ・社内PC端末等がランサムウェアに感染しデータが暗号化されていたことが公表されたが、同社はシステム障害発生後も製品の生産・受注・出荷業務は継続できているとしている。発覚から確報まで約2か月余りという長期戦のなかで中核業務を止めずに済んだ背景には、端末の異常を「気のせい」で済ませずに調査へつなぎ、全遮断という重い判断を下せたことがある。逆にいえば、異常の兆候やアラートが上がっても、それを見る人と判断する人がいなければ、この初動はそもそも始まらない。有事の手順設計は第5回・初動・報告フローの未整備で扱うが、その手順に火を入れるのは平時の監視体制である。
自社運用かマネージドSOC委託か——判断軸の整理
監視運用を成立させる方法は、自社で回すか、外部に委ねるかの二択に大別される。どちらが優れているかではなく、自社の人員・規模・リスクに対してどちらが現実的かで選ぶ。
| 観点 | 自社運用(社内SOC) | マネージドSOC/MDR委託 |
|---|---|---|
| 必要な人材 | アラートの切り分け・対処を判断できる人材を自社で確保・育成する | 専門人材は委託先が確保。社内には窓口と意思決定者が要る |
| 夜間・休日 | 交代制の体制が必要で、少人数の情シスでは現実的に難しい | 24時間365日の監視を契約でカバーできる |
| コストの性質 | 人件費・教育費が固定的に発生し、立ち上げ負担が大きい | 月額の委託費として平準化され、規模に応じて選びやすい |
| 立ち上がり | 体制・手順の整備に時間がかかる | 契約後、比較的短期間で監視を開始できる |
| 自社業務の理解 | 自社システム・業務の文脈を踏まえた判断がしやすい | 委託先への前提情報・連絡経路の共有が必要になる |
| 向くケース | 専任のセキュリティ要員を複数確保できる規模の企業 | 情シスが少人数・兼任で、夜間休日を自前で埋められない企業 |
判断の出発点は「自社で24時間365日を埋められるか」という一点である。埋められないのに自社運用を選ぶと、結局は平日昼間しか見ていないEDRになり、導入前と本質的なリスクは変わらない。一方、委託すれば丸投げできるわけでもない。端末の隔離やネットワーク遮断の最終判断、経営層へのエスカレーション、止まる業務の影響評価は社内にしか下せない。委託範囲と自社に残る役割を契約前に切り分けておくことが、委託を機能させる条件になる。監視運用の外部化はマネージドSOCで、判断や対応を平時から相談できる体制づくりはセキュリティリテイナーで支援している。
点検チェックリスト:「導入済み・運用なし」になっていないか
導入前の企業は発注要件として、導入済みの企業は現状点検として、次を確認したい。
- EDRのアラートを「誰が」「どの頻度で」確認するか、担当者名で決まっているか。
- 検知が攻撃か誤検知かを切り分け、隔離・遮断を判断する責任者が決まっているか。
- 夜間・休日・連休に検知が上がった場合、誰がどう気づき、誰が動くかが決まっているか。
- 端末の隔離・全体の遮断を実行する手順と権限(誰の承認で止めるか)が文書化されているか。
- アラート対応の工数が予算と体制で確保され、兼任者の善意頼みになっていないか。
- 自社で回せない場合の選択肢として、マネージドSOC/MDR委託を比較検討したか。
- 委託する場合、委託範囲と社内に残る判断(遮断の最終判断・経営報告)を切り分けたか。
- サイバー保険の加入・更新要件(EDR+監視運用)と自社の現状との差分を確認したか。
ひとつでも空欄があれば、それは「導入済み・運用なし」の状態である。製品を買い足す前に、いまある仕組みを回す体制づくりから着手するほうが、投資対効果は高い。
関連記事
- 特集トップ:セキュリティ対策の失敗図鑑
- 第2回:バックアップがランサムと一緒に暗号化される失敗
- 第3回:VPN機器のパッチ先送り
- 第5回:初動・報告フロー未整備
- マネージドSOC(運用監視の外部化)
- セキュリティリテイナー(平時からの伴走体制)
よくある質問
Q1. EDRを導入すればアンチウイルスより安全になるのか。
製品の能力としては、既知のパターンに頼らず不審な挙動を検知できる点でEDRのほうが広い脅威を捉えられる。だがEDRは「検知して通知する」までが自動であり、切り分け・隔離・遮断という対処は人の仕事として残る。アラートを見る人と判断する人がいなければ、検知履歴が増えるだけで防御力は上がらない。運用体制とセットで初めて、アンチウイルスを超える価値が出る。
Q2. 情シスが1人しかいない会社でもEDRの運用は回せるのか。
平日昼間のアラート確認だけなら兼任でも回りうるが、夜間・休日・連休まで1人でカバーするのは現実的でない。攻撃は対応が手薄な時間帯を狙うため、この空白を放置すると導入効果が大きく削がれる。自社で24時間365日を埋められない場合は、マネージドSOCやMDRへの委託を前提に設計するのが現実的である。委託費は人を雇って交代制を組むより小さく済むことが多い。
Q3. マネージドSOCに委託すれば社内の体制は不要になるのか。
不要にはならない。委託先が担うのは監視・検知・切り分けと対処の提案までで、端末の隔離や全社遮断の最終判断、止まる業務の影響評価、経営層や取引先への報告は社内にしか下せない。委託先からの連絡を誰が受け、誰が判断するかという窓口と意思決定の体制は社内に残す必要がある。委託範囲と社内に残る役割を契約前に文書で確認しておきたい。
Q4. サイバー保険に入るためにはEDRを導入するだけで足りるのか。
足りない。2026年の引受条件では、EDRは全従業員端末への導入に加えて、自社SOCまたはMDR委託による24時間365日の監視運用、インシデント対応プレイブックの整備までが求められている。さらにMFAとバックアップを合わせた3点セットが新規加入・更新の事実上の前提であり、未対応なら審査通過率が大幅に下がる。対応済みでも保険料が従来の2〜3倍になるケースがあるため、更新時期から逆算した準備が要る。
EDRを「入れて終わり」にしないためには、アラートを見る人・判断する人・夜間休日に動く体制まで含めた運用設計が要る。自社運用とマネージドSOC委託のどちらが現実的か、いまの体制のどこに空白があるかを整理したい場合は、無料相談から現状の導入製品と体制の状況を持ち込んでいただきたい。運用まで含めた設計を一緒に組み立てる。
出典
- コタ株式会社「サイバー攻撃によるシステム障害発生のお知らせ(第4報)」(適時開示・2026年6月5日)
- コタ株式会社 適時開示(第1報 2026年3月30日〜第4報 6月5日。日経 適時開示インデックス)
- 警察庁 サイバー空間をめぐる脅威の情勢等
- CISA StopRansomware
- NIST Cybersecurity Framework 2.0
- 各損保会社の約款改定発表資料・日本損害保険協会「サイバー保険ガイド」ほか(サイバー保険2026年厳格化の記載元:サイバー保険 2026年 引受条件厳格化)