EDRの運用で心掛けるべきポイントとは?
先述のようにEDRは、今まで見えなかった潜在的な脅威を可視化することで、サイバー攻撃による実害を極小化してくれる。その効果は高く評価され、現在多くの企業や組織でEDRの導入が進んでいる。しかしその反面、これまで気付かれなかった脅威が新たに可視化され、運用の負荷が高まるのではないかという懸念も持ち上がっている。これに対して佐藤氏は、次のように述べる。
「確かにEDR製品は多くのアラート通知を生成しますが、そのすべてを人手で処理する必要はありません。多くのEDR製品はアラートの重要度を示してくれるため、重要度の高いものに絞って対応すれば最小限の手間で運用できます。加えて、EDRは重要インシデントの調査ツールとしても利用でき、既存のインシデント対応業務の作業負荷を軽減する効果も期待できます」
多くのEDR製品は、エンドポイントで取得したログを集計し、その内容を効率的に検索・分析できる機能を備えている。これらの機能を有効活用すれば、例えばマルウェアの感染が検出された際、どの端末がマルウェアのファイルを保持しており、その活動状況がどうなっているかを、各端末のログを一斉に検索することで即座に把握できる。
また感染が確認され、インシデント対応が必要となった場合も、例えば感染した端末をリモートから即座に隔離したり、特定のファイルを起動できなくしたりできる。こうした機能を使えば、感染端末が設置されている場所まで出向いて作業するなど、端末をサービスデスクに送るための手間がなくなり、業務効率が向上するとともに素早い対応が可能となり、感染の拡大を未然に防ぐことができる。
「EDRの導入で、これまで検知できなかった不審な振る舞いを検知できるようになるため、これらに対応するための新たな作業が発生します。しかしEDRのさまざまな機能を活用すれば、脅威の検知からトリアージ、インシデントレスポンスに至るまでのさまざまな既存業務を効率化し、対応時間を短縮できます。この効果によって、新たな作業増加分を相殺できれば、EDRを導入したことで必ずしも運用負荷が膨れ上がるということはないでしょう」(佐藤氏)
