タニウム合同会社は5月27日、「国内EDR実態調査」の結果を発表した。同調査は2月3日から2月4日に、主に大企業のIT管理者と担当者5,563名を対象に株式会社アイ・ティ・アールに委託しWebアンケートを実施、644件の有効回答があった。(記事はこちら)
EDRの認知度や導入状況などについて調査結果が公表されています。セキュリティ対策として、EDRの必要性や他のセキュリティ製品との違いについて説明します。
大企業のIT管理者と担当者を対象としたアンケートで、644件の有効回答のうち「EDRの名前は知っている」と回答したユーザは75%を超えているものの、内容まで把握しているのは約3割にとどまっています。また、EDRとアンチウイルスの違いを知っているユーザは約8割に達していますが、違いを説明できる割合は約3割にとどまっているということです。総じて、EDRの認知度は高いものの、その詳細まで理解しているユーザはわずかであるようです。
さらに、EDRを実際に導入しているユーザは2割にとどまり、導入したユーザからも「効果が限定的」「検知後の対応が限定的」「検知が多すぎる」「管理画面が使いづらい」「価格が高い」などの課題が挙げられています。比較的新しい分野のセキュリティ製品ということもあり、現時点では利用者の満足度は高くはないようです。
EDRとは、Endpoint Detection and Responseの略で「エンドポイントでの検知と対応」と訳されます。EDRはファイアウォールなどのネットワークセキュリティとは違い、エンドポイントであるパソコンやサーバなどの末端を監視してサイバー攻撃を検知するものです。
EDRは、ソフトウェアが導入されたエンドポイント上で標的型攻撃やマルウェア感染によるサイバー攻撃が発生していないか常時監視を行います。エンドポイントで何らかの怪しい動きが確認されたら、直ちに管理者へ通知を行います。EDRは導入されたエンドポイントでログを取得していますので、通知を受けた管理者はEDRが保存したログを調査することで速やかにインシデント対応を行うことができます。
EDRとアンチウイルスの最も大きな違いは、アンチウイルスが「インシデント発生前の防御」を目的とした製品であることに対して、EDRが「インシデント発生後の監視」を目的とした製品であることです。EDRの中には防御機能をオプションとして提供している製品もありますが、基本的な機能はエンドポイントを常時監視することです。セキュリティ製品というと「入れるだけで守ってくれる」というイメージが先行しているためか、今回の調査結果のように期待外れとする意見が多くなっているのかもしれません。
EDRを導入するメリットは、防御を目的としたセキュリティ製品が検知できなかった標的型攻撃やマルウェア感染によるサイバー攻撃の挙動を監視することで、迅速なインシデント対応を実現し、結果として被害の局所化を図ることができます。また、多層防御の観点からもEDRは有効です。それぞれについて説明します。
昨今、サイバー攻撃の高度化と複雑化が顕著であるため、既知の攻撃手法や脆弱性に対する防御を目的としたセキュリティ製品にとっては不利な状況が続いています。つまり、サイバー攻撃を未然に100%防ぐことは不可能とされています。そこで、被害を前提としたセキュリティ対策として、いかに速やかなインシデント対応ができるかに特化したEDRに注目が集まっています。
また、多層防御の観点からもEDRは有効です。多層防御とは、1つの情報資産に対して複数のレイヤーや異なるアーキテクチャで構成されたセキュリティ対策を実施するものです。特に重要なシステムに対して防御レベルを上げるとともに、インシデント対応の時間を稼ぐ効果が期待できます。アンチウイルスで検知できなかったマルウェアをEDRで検知できる可能性があるということですね。
現状では様々な課題のあるEDRではありますが、運用のアウトソースなどと組み合わせて活用することで、高度化するサイバー攻撃に対応することが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ