EDRがあればEPPは何でもいいわけではない
平澤氏は20年前から、ITセキュリティおける様々な課題に対し、ゲートウェイやエンドポイントセキュリティ製品、クラウドベース、オンプレミスの様々なセキュリティソリューションを、顧客に提案、販売してきたという。このセッションでは、そんな平澤氏の経験の中で見えた、エンドポイントセキュリティ対策で“間違っているところ”をピックアップして紹介した。
1つ目の間違いは「セキュリティバズワードに振り回される」だ。バズワードに関しては、様々な概念、ソリューションが登場しており、流行がある。顧客企業の環境が現状どうなっていて、今後のセキュリティ対策のゴールがはっきりと見えているのか。それらが定まっていないのに『流行っているから検討しましょう』『採用しましょう』というお客様が非常に多いです」と平澤氏。足元をしっかり見定めてから新たなソリューションを判断する必要があり、流行に惑わされないことが重要だと指摘する。
2つ目の間違いは「EPPは何でもいい」という考え方だ。これは、EPP(Endpoint Protection Platform)が検知できなかったものは、EDR(Endpoint Detection and Response)が対応してくれるので、EPPの検知能力には期待せず何でもいいということ。これについても「流行に惑わされている」と指摘する。EPPの能力が低ければ、EDRに引き渡すタスクが増え、EPPの誤検知、過検知のアラートも含めすべてをEDRで処理しなければならない。これではEDR対応のタスクが増え、セキュリティ・オペレーション・センターの対応も増加してしまう。
攻撃者は常に新しい攻撃手法を開発しており、アンチウイルスなどで検知できないようにしてくる。新たなマルウェアのソースコードはフレームワークの形でGitHubでも公開されており、今や誰でもそれをダウンロードし開発できる。そうやって作ったマルウェアをあるベンダーのEPP、EDRで検知できるか試すと、何のログも残さず検知できなかった例があるという。一方で、ウィズセキュアのEPP製品が入っている環境では、それを検知して駆除までできた。つまり、EPPの能力が高ければ、余計なタスクをEDRに渡すことがなくなる。EDRでの対処となれば、コストも人手も余計にかかる。そうなるかどうかは、EPPの能力に依存するのだ。
3つ目の間違いはとにかく「機能が多ければ多いほどいい」ということ。機能が多ければ製品選定の際には魅力的に感じ、社内稟議も通しやすいかもしれない。しかし機能が増えれば、それだけ設定ミスや設定漏れが発生する可能性は増える。正しく機能を理解していないと、正しく利用することもできない。実際に設定ミスなどがセキュリティホールとなり、そこを攻撃されるケースはよくある。そういったことを踏まえ、製品の機能やサービスを固める必要があると指摘する。
「とりあえず知名度の高いブランドを選んでおけばよい」との考え方が、4つ目の間違いだ。こういった考え方で導入すると、後々“問題になる”ケースもあるのだ。製品を提供する会社の規模が大きければ、なんとか対応してくれると考えるかもしれない。しかし「会社規模が大きいから問題解決能力が高いわけではありません。規模などを判断基準とせずに、正当な評価をすべきでしょう」と平澤氏はいう。また、他の案件でも利用しているので、同じベンダーにしようとの考え方もある。これも製品やサービスを正当に評価しているとは言えないと指摘する。
