Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「新たな脅威の検知」だけでなく「既存業務の効率化」にも効くEDR――次世代アンチウィルス機能との併用で強固な防御も実現

edited by Security Online   2018/10/15 06:00

EDRの運用で心掛けるべきポイントとは?

 先述のようにEDRは、今まで見えなかった潜在的な脅威を可視化することで、サイバー攻撃による実害を極小化してくれる。その効果は高く評価され、現在多くの企業や組織でEDRの導入が進んでいる。しかしその反面、これまで気付かれなかった脅威が新たに可視化され、運用の負荷が高まるのではないかという懸念も持ち上がっている。これに対して佐藤氏は、次のように述べる。

 「確かにEDR製品は多くのアラート通知を生成しますが、そのすべてを人手で処理する必要はありません。多くのEDR製品はアラートの重要度を示してくれるため、重要度の高いものに絞って対応すれば最小限の手間で運用できます。加えて、EDRは重要インシデントの調査ツールとしても利用でき、既存のインシデント対応業務の作業負荷を軽減する効果も期待できます」

出典:ネットワークバリューコンポネンツ作成[画像クリックで拡大表示]

 多くのEDR製品は、エンドポイントで取得したログを集計し、その内容を効率的に検索・分析できる機能を備えている。これらの機能を有効活用すれば、例えばマルウェアの感染が検出された際、どの端末がマルウェアのファイルを保持しており、その活動状況がどうなっているかを、各端末のログを一斉に検索することで即座に把握できる。

 また感染が確認され、インシデント対応が必要となった場合も、例えば感染した端末をリモートから即座に隔離したり、特定のファイルを起動できなくしたりできる。こうした機能を使えば、感染端末が設置されている場所まで出向いて作業するなど、端末をサービスデスクに送るための手間がなくなり、業務効率が向上するとともに素早い対応が可能となり、感染の拡大を未然に防ぐことができる。

 「EDRの導入で、これまで検知できなかった不審な振る舞いを検知できるようになるため、これらに対応するための新たな作業が発生します。しかしEDRのさまざまな機能を活用すれば、脅威の検知からトリアージ、インシデントレスポンスに至るまでのさまざまな既存業務を効率化し、対応時間を短縮できます。この効果によって、新たな作業増加分を相殺できれば、EDRを導入したことで必ずしも運用負荷が膨れ上がるということはないでしょう」(佐藤氏)


著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5