「新たな脅威の検知」だけでなく「既存業務の効率化」にも効くEDR――次世代アンチウィルス機能との併用で強固な防御も実現
未知の脅威によるサイバー攻撃への対抗手段として注目を集める「EDR(Endpoint Detect and Response)」。EDRの導入が進む一方、端末の挙動が可視化されることで今まで気付くことができなかった不審な振る舞いを検知できるようになり運用負荷が高まるのではという懸念もある。しかし、株式会社ネットワークバリューコンポネンツの佐藤佑樹氏によると、むしろEDR活用によって業務の効率化が期待できるという。佐藤氏は「Security Online Day 2018」(主催:翔泳社)で、EDR製品の導入メリットや、具体的な導入・運用のポイントなどを紹介した。
なぜ今EDRがこれほど注目を集めているのか
株式会社ネットワークバリューコンポネンツ ソリューション企画部 佐藤佑樹 氏
EDRは昨今、標的型攻撃をはじめとする未知の脅威を使ったサイバー攻撃に対抗する手段として脚光を浴びている。今日、EDRが必要とされている背景について、佐藤氏は次のように説明する。
「近年のサイバー攻撃は、ファイアウォールやIPS/IDS、サンドボックスといった既存の出入り口対策を巧妙にすり抜けてきます。また最近では働き方改革の進展で、社外でPCをインターネットに接続して利用する機会が増えてきましたが、この場合はそもそも社内ネットワークに設置した出入り口対策を経由しませんから、PCに導入したアンチウイルスソフトだけが頼りです。しかし標的型攻撃は多くの場合、未知のマルウェアが使われるため、既知のマルウェアのシグネチャをベースにしたアンチウイルスソフトでは攻撃を防ぐことができません」
このような近年の状況を鑑み、これからは「エンドポイントが感染してしまうことを前提とした対策が必要になる」と佐藤氏は指摘する。経済産業省が出している「サイバーセキュリティ経営ガイドライン」の最新版や、内閣サイバーセキュリティセンターによる「政府機関等の情報セキュリティ対策のための統一基準群の見直し」においても、エンドポイント上で不審な挙動を検知し、万が一インシデントが発生した際に被害を極小化できる対策の重要性が説かれている。
まさにこうした対策を行うのがEDRだ。アンチウイルスソフトのようなパターンマッチングではなく、エンドポイント上のすべての挙動を監視・記録し、その内容を解析することで防ぐことのできなかった脅威をいち早く検出することを目的の一つとしている。
従来のエンドポイントセキュリティの主役であったアンチウイルスソフトは、端末内に侵入しようとするマルウェアやそれを呼び込む不審なアプリケーションの侵入を検知・防御する。もし内部への侵入を許してしまった後は、その動きを検知する手立てを持っていない。対してEDRは、端末内への侵入を許してしまったマルウェアが、PCやサーバなどのエンドポイント上で展開する多くの不審な活動を検出することで、脅威の存在を知らせてくれるのだ。
この記事は参考になりましたか?
- Security Online Day 2018 イベントレポート連載記事一覧
- この記事の著者
-
吉村 哲樹(ヨシムラ テツキ)
早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
