サイバー攻撃が年々増加する中、エンドポイント(パソコンやスマートフォンなどの端末)は攻撃者にとって格好の標的となっています。特に、リモートワークの普及やIoTデバイスの増加により、企業のセキュリティ対策の重要性はかつてないほど高まっています。本記事では、エンドポイントを守る最新のセキュリティソリューションであるEDR(Endpoint Detection and Response)について解説し、さらにはその効果を最大化するMDR(Managed Detection and Response)サービスの魅力をお伝えします。企業の情報資産を守るためのヒントをぜひお役立てください。
EDR(Endpoint Detection and Response)とは、エンドポイント(ネットワークに接続された機器一般)で発生するセキュリティインシデントを検知し、対応するためのセキュリティソリューションです。従来のウイルス対策ソフトが、主に既知の脅威を検知することに特化していたのに対し、EDRは未知の脅威や高度な攻撃にも対応できる点が大きな特徴です。
エンドポイントは、ネットワークの末端に位置する個々のデバイス(パソコン・スマートフォン・サーバなど)を指します。これらのデバイスは、企業の情報資産へのアクセス窓口となるため、マルウェア感染や不正アクセスなどの脅威に常に晒されています。そのため、エンドポイントをしっかりと保護することは、企業全体のセキュリティを確保するために不可欠です。
以下のような背景を受けて、個々人が利用・管理する端末を含め、一つ一つの機器に対するエンドポイントセキュリティへの関心が高まっています。
近年、特定の組織や個人を狙った標的型攻撃がますます増加しております。従来のウイルス対策では防ぎきれない高度な攻撃手法が利用されており、その対策が必須です。
新型コロナウイルスの影響によってリモートワークが普及し、企業ネットワークの外にあるデバイスのセキュリティ対策が求められました。
IoTデバイスの増加に伴って攻撃対象が広がり脅威が多様化、セキュリティリスクとその対策へのニーズが高まっています。
EDRの機能の特徴や従来のウイルス対策ソフトとの主な違いを簡単に説明します。
| 特徴 | 従来のウイルス対策ソフト | EDR |
|---|---|---|
| 検知方法 | シグネチャベース (既知のウイルスパターン) |
機械学習を用いた振る舞い分析機能などを利用 未知の脅威への対応も可能 |
| 検知対応 | パターンマッチしたウイルスファイルを駆除 調査や対応は人の手で対応 |
ファイルの隔離のみでなく プロセスの強制終了や通信の遮断などを自動実行 |
従来のウイルス検知ではシグネチャベース(既知のウイルスパターン)でした。一方、近年のEDRは機械学習を用いた振る舞い分析機能などを利用して、未知の脅威への対応も可能になっています。これは利用者にとって非常に大きなメリットと言えます。この未知の脅威への対策を実現する為に、EDRはエンドポイントで生じるイベントを常時監視します。異常な挙動をリアルタイムで検知して、侵入者の活動を把握して被害拡大を未然に防ぐよう動きます。
EDRの検出対象は多岐に渡ります。主要な製品では、プロセスの生成・終了やプロセスへのアクセス、イメージやライブラリのロードなどは共通して監視対象となっています。導入対象がWindows端末であればレジストリに関連した活動の監視も多くの製品で対応していますし、WMI(Windows Management Instrumentation)が関わる活動を監視している製品も多いです(WMIそのものの解説はここでは省かせて頂きます)。その他、システムコールやネットワーク通信、ファイルの生成・変更・削除も主要な監視対象です。
従来のウイルス検知では、パターンマッチしたウイルスファイルを駆除していました(ウイルス感染後の駆除)。対象のウイルス駆除の後に何を調査して何をするべきかは人の手での対応となります。例えば、ウイルス感染と駆除のアラート表示がでたときに咄嗟にLANケーブルを抜く、など。
一方EDRでは、振る舞い検知によって脅威と判定されたファイルの隔離のみでなくプロセスの強制終了や通信の遮断などを自動実行してくれます。これは人手による対応の一切が不要になるということではありませんが、より素早くより効率的にリスクを排除していくという点で大きなメリットです。
ウイルス検知と駆除においては当然ウイルススキャンが主要な機能となりますが、EDRには振る舞い検知を実現するためにエンドポイント上のイベントのリアルタイム監視と機械学習機能が実装されており、各種履歴データの保存とその分析を行っています。また、製品によってはインシデントレスポンスやフォレンジック、脅威インテリジェンスに対応した機能を実装しているものもあります。
組織でインシデントレスポンスやフォレンジックに対応するには、エンドポイント利用者に脅威検知アラートを表示するだけでは十分とは言えません。自社内のネットワーク、クラウド上のシステム、そこかしこで利用しているIoTデバイス等を包括的、俯瞰的に監視・管理することが必要になります。もちろんこれは容易に実現できるものではありません。
組織内のEDR導入エンドポイントからイベント・脅威の情報を集約して管理・分析を実行するポジションが重要です。一般的にCSIRTのような監視やインシデントレスポンス専門の部署が担当しますが、必ずしもそうした部署を用意できるとは限らないのが実情です。
こうした課題を解決する為に、導入したEDRを活用したセキュリティ運用をサポートするマネージドEDRサービスが開発されました。専門家による分析・警告・対応によって、エンドポイント単体に対するEDRの活動を組織全体へのセキュリティに繋げる支援を実施します。
MDRサービスには下記の特徴が挙げられます。
高機能で未知の脅威にも対応してくれるEDRですが、あらゆる脅威を検知する完璧さを備えている訳ではありません。EDRによる検知で洩れる可能性のある活動を専門家による分析で補うことができます。そして、24時間365日対応のサービスも存在します。深夜、休日などの対応体制を自社で用意するのは簡単ではありません。通常業務時間外の対応を外注できる点は非常に大きなメリットとなります。
EDRによる脅威の検知をエンドポイント利用者以外で最初に把握するのがセキュリティ専門家であるため、ネクストアクションが素早く適切です。また、MDRサービスでは監視・分析プロセスの自動化を行うノウハウを持っていることが多いため、ヒューマンエラーを減らした効率的な対応を期待できます。
上記のような適切で効率的な専門的知見の外注は、自社で用意するよりもコストが少なくて済むのが一般的です。初期費用は当然のこと、24/365対応のランニングコストを考慮すると、多くの場合は外注するほうがコスト削減に繋がることでしょう。
サービス選定のポイントは、サービス内容とコストの比較がメインになります。MDRでは、「脅威検知・対応可能なシステム・セキュリティソリューションとの連携・インシデント対応内容」などが主要なポイントです。これらに加えて確認しておくとよりニーズに沿ったサービス選定が可能となるポイントをご紹介します。
まだ監視体制が殆ど整っていない状態から、適切なソリューションの選定などの支援を受けることができるか。
インシデント発生時のトリアージ対応などのサポートが得られたとして、その後の詳細なフォレンジック調査や、事後分析と再発防止策の提案なども支援してもらえるか。
最新のセキュリティ事情や脅威への対応策としてどのような技術を採用しているか。
世の中の公開情報の収集と分析、それを活用したサービスや支援がどの程度充実しているか。
本記事ではEDRの特徴とそのメリットを引き出す運用支援サービスのMDRについて紹介しました。高度化、複雑化するITシステムとそれを取り巻くセキュリティ事情を包括的に視野におさめ、様々な脅威に対して効率良く対処していくためのよすがになれば幸いです。
あらゆるEDR製品の管理コンソールを監視し、緊急度の高いアラートのみ通知します。インシデント対応やフォレンジック調査も可能です。
マネージドEDRページはこちら
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
