なぜ今EDRがこれほど注目を集めているのか
株式会社ネットワークバリューコンポネンツ ソリューション企画部 佐藤佑樹 氏
EDRは昨今、標的型攻撃をはじめとする未知の脅威を使ったサイバー攻撃に対抗する手段として脚光を浴びている。今日、EDRが必要とされている背景について、佐藤氏は次のように説明する。
「近年のサイバー攻撃は、ファイアウォールやIPS/IDS、サンドボックスといった既存の出入り口対策を巧妙にすり抜けてきます。また最近では働き方改革の進展で、社外でPCをインターネットに接続して利用する機会が増えてきましたが、この場合はそもそも社内ネットワークに設置した出入り口対策を経由しませんから、PCに導入したアンチウイルスソフトだけが頼りです。しかし標的型攻撃は多くの場合、未知のマルウェアが使われるため、既知のマルウェアのシグネチャをベースにしたアンチウイルスソフトでは攻撃を防ぐことができません」
このような近年の状況を鑑み、これからは「エンドポイントが感染してしまうことを前提とした対策が必要になる」と佐藤氏は指摘する。経済産業省が出している「サイバーセキュリティ経営ガイドライン」の最新版や、内閣サイバーセキュリティセンターによる「政府機関等の情報セキュリティ対策のための統一基準群の見直し」においても、エンドポイント上で不審な挙動を検知し、万が一インシデントが発生した際に被害を極小化できる対策の重要性が説かれている。
まさにこうした対策を行うのがEDRだ。アンチウイルスソフトのようなパターンマッチングではなく、エンドポイント上のすべての挙動を監視・記録し、その内容を解析することで防ぐことのできなかった脅威をいち早く検出することを目的の一つとしている。
従来のエンドポイントセキュリティの主役であったアンチウイルスソフトは、端末内に侵入しようとするマルウェアやそれを呼び込む不審なアプリケーションの侵入を検知・防御する。もし内部への侵入を許してしまった後は、その動きを検知する手立てを持っていない。対してEDRは、端末内への侵入を許してしまったマルウェアが、PCやサーバなどのエンドポイント上で展開する多くの不審な活動を検出することで、脅威の存在を知らせてくれるのだ。
EDRの運用で心掛けるべきポイントとは?
先述のようにEDRは、今まで見えなかった潜在的な脅威を可視化することで、サイバー攻撃による実害を極小化してくれる。その効果は高く評価され、現在多くの企業や組織でEDRの導入が進んでいる。しかしその反面、これまで気付かれなかった脅威が新たに可視化され、運用の負荷が高まるのではないかという懸念も持ち上がっている。これに対して佐藤氏は、次のように述べる。
「確かにEDR製品は多くのアラート通知を生成しますが、そのすべてを人手で処理する必要はありません。多くのEDR製品はアラートの重要度を示してくれるため、重要度の高いものに絞って対応すれば最小限の手間で運用できます。加えて、EDRは重要インシデントの調査ツールとしても利用でき、既存のインシデント対応業務の作業負荷を軽減する効果も期待できます」
多くのEDR製品は、エンドポイントで取得したログを集計し、その内容を効率的に検索・分析できる機能を備えている。これらの機能を有効活用すれば、例えばマルウェアの感染が検出された際、どの端末がマルウェアのファイルを保持しており、その活動状況がどうなっているかを、各端末のログを一斉に検索することで即座に把握できる。
また感染が確認され、インシデント対応が必要となった場合も、例えば感染した端末をリモートから即座に隔離したり、特定のファイルを起動できなくしたりできる。こうした機能を使えば、感染端末が設置されている場所まで出向いて作業するなど、端末をサービスデスクに送るための手間がなくなり、業務効率が向上するとともに素早い対応が可能となり、感染の拡大を未然に防ぐことができる。
「EDRの導入で、これまで検知できなかった不審な振る舞いを検知できるようになるため、これらに対応するための新たな作業が発生します。しかしEDRのさまざまな機能を活用すれば、脅威の検知からトリアージ、インシデントレスポンスに至るまでのさまざまな既存業務を効率化し、対応時間を短縮できます。この効果によって、新たな作業増加分を相殺できれば、EDRを導入したことで必ずしも運用負荷が膨れ上がるということはないでしょう」(佐藤氏)
優れた検知に加え防御も可能な「Cb Defense」
現在、市場にはさまざまなEDR製品が存在する。ネットワークバリューコンポネンツでは数多の製品の中から米Carbon Black社の「Cb Defense」を推奨している。EDRはエンドポイント上の脅威を監視・検知するが、Cb Defenseはこの機能とともに、エンドポイントへのマルウェア感染を防御するための「次世代アンチウイルス」の機能も併せ持つのが特徴だという。
「従来型のアンチウイルス製品は、マルウェアの侵入前・侵入時の防御しかできません。一方、EDR製品は侵入前・侵入時・侵入後・侵害後とすべての段階における監視と検知が可能ですが、防御の機能は持ちません。その点Cb Defenseは、すべての段階において防御と監視・検知が可能になっています」(佐藤氏)
ちなみに「次世代アンチウイルス」とは、シグネチャファイルによるパターンマッチングにもっぱら依拠してきた旧来のアンチウイルスソフトとは異なり、AIや振る舞い検知、サンドボックスといったシグネチャ外の手法を用いて脅威の検知および防御を行う製品のことを指す。
最近ではCb Defense以外にも次世代アンチウイルス機能を搭載するEDR製品が増えてきているが、その多くは過去の攻撃の振る舞いパターンとマッチングを行うことで脅威の検知・防御を行う。一方Cb Defenseは、リアルタイムのすべての振る舞いを基に検知・防御を行う「ストリーミングプリベンション」という独自技術を採用しており、特に未知の脅威に対する防御に優れているという。
まずはこの次世代アンチウイルス機能によって可能な限り防御し、それでもなおすり抜けてきた脅威についてはEDR機能で迅速に検出するという「二段構え」の対策をエンドポイント上で行うことで、EDRの運用負荷を大幅に削減し、より確実に被害を防ぐことができる。インシデント対応が必要になった場合も、原因調査や端末の隔離・復旧などをサポートする様々な機能が提供されている。Cb Defenseは単一の製品でこれらすべてカバーすることで、エンドポイント対策を効率よく強化できるという。
ただし、初めてEDR製品を導入するユーザーは、やはり運用について多くの不安を抱えているかもしれない。そうしたユーザーに対して、ネットワークバリューコンポネンツは運用支援サービスを提供しているという。
「お客様に代わって、Cb Defenseから上がってくるアラート通知に24時間365日体制で対処し、脅威の分析や封じ込め、除去などの作業をサポートします。また毎月、インシデントの内容や統計を月次レポートにまとめて提供します。今見直すべきセキュリティ対策として、EDR以外にもIPレピュテーションによる出入り口対策や、ネットワークの可視化など、近年の高度なサイバー攻撃に対応するための様々なセキュリティソリューションを提供していますので、興味をお持ちの方は是非一度ご相談いただければと思います」(佐藤氏)
