なぜ今EDRがこれほど注目を集めているのか
株式会社ネットワークバリューコンポネンツ ソリューション企画部 佐藤佑樹 氏
EDRは昨今、標的型攻撃をはじめとする未知の脅威を使ったサイバー攻撃に対抗する手段として脚光を浴びている。今日、EDRが必要とされている背景について、佐藤氏は次のように説明する。
「近年のサイバー攻撃は、ファイアウォールやIPS/IDS、サンドボックスといった既存の出入り口対策を巧妙にすり抜けてきます。また最近では働き方改革の進展で、社外でPCをインターネットに接続して利用する機会が増えてきましたが、この場合はそもそも社内ネットワークに設置した出入り口対策を経由しませんから、PCに導入したアンチウイルスソフトだけが頼りです。しかし標的型攻撃は多くの場合、未知のマルウェアが使われるため、既知のマルウェアのシグネチャをベースにしたアンチウイルスソフトでは攻撃を防ぐことができません」
このような近年の状況を鑑み、これからは「エンドポイントが感染してしまうことを前提とした対策が必要になる」と佐藤氏は指摘する。経済産業省が出している「サイバーセキュリティ経営ガイドライン」の最新版や、内閣サイバーセキュリティセンターによる「政府機関等の情報セキュリティ対策のための統一基準群の見直し」においても、エンドポイント上で不審な挙動を検知し、万が一インシデントが発生した際に被害を極小化できる対策の重要性が説かれている。
まさにこうした対策を行うのがEDRだ。アンチウイルスソフトのようなパターンマッチングではなく、エンドポイント上のすべての挙動を監視・記録し、その内容を解析することで防ぐことのできなかった脅威をいち早く検出することを目的の一つとしている。
従来のエンドポイントセキュリティの主役であったアンチウイルスソフトは、端末内に侵入しようとするマルウェアやそれを呼び込む不審なアプリケーションの侵入を検知・防御する。もし内部への侵入を許してしまった後は、その動きを検知する手立てを持っていない。対してEDRは、端末内への侵入を許してしまったマルウェアが、PCやサーバなどのエンドポイント上で展開する多くの不審な活動を検出することで、脅威の存在を知らせてくれるのだ。
