EPPとEDRは役割が異なりエンドポイントの保護にはどちらも必要
ここから平澤氏は、実際の画面を示しどのようにエンドポイントセキュリティを実現するかを説明した。前述したサポート詐欺の例の続きとして、講演時点で有効だった有名なセキュリティベンダーを装ったURLを示し、そこにアクセスする様子を紹介した。この詐欺のシナリオは、被害者には過払いをしているサービスがあるので返金できるとし、そのための手続きをさせるものだ。
まず偽のサイトに誘導し、チケットナンバーを入力させる。実行ボタンをクリックすると、自動的に実行形式ファイルがダインロードされる。ダウンロードしたファイルからできたフォルダを見ようとすると、瞬時にウィズセキュアのEPPが脅威を検出しそれを取り除く様子が示された。
このように「EPPの役割はここにあります。実際に被害が出てから調査するよりも、未然に防ぐことが望ましいのです」と平澤氏、若干のタイムラグの後にはさらにメッセージが出て、この端末がインターネットから完全に遮断され、社内サーバーや他の端末にもアクセスできなくなる様子も示した。この自動で遮断する機能そのものは、EPPと連携するEDRのものだ。
ウィズセキュアのポータル画面も紹介。EPP、EDRそれぞれの統計情報が1つの管理コンソールから確認でき、それぞれの設定やアラート情報も1つのペインで見ることが可能だ。先ほどの詐欺の検出内容を見ると、EPP側ではダウンロードした内容に悪意のあるものが含まれていると判定されている。このマルウェアは多くのアンチウイルスでは、検知できないと平澤氏はいう。
EDR側で見ると、危険度が中レベルと表示され、デバイスが隔離されていることも分かる。示した例では既に脅威は取り除かれており、デバイスを再び開放することが可能となっている。隔離からの開放は自動でも手動でもできる。またEPP、EDRで検出したものは、時系列で見ることもでき、調査がしやすいようにもなっている。EDRでは、自動応答などについてルールを設定でき、例では高レベル、中レベルの際に自動で隔離するようになっていた。他にも特定のサーバーを自動隔離の対象から外す設定なども可能だ。
EPP、EDRの役割はそれぞれに異なる。EDRが重要でEPPが不要なわけでもなければ、EPPは何でもいいわけでもない。「EPPも重要な役割を持っています。EDRが新しいテクノロジーでEPPが旧いテクノロジーとの話もありますが、どちらも最新テクノロジーでエンドポイントを保護しています」と平澤氏。エンドポイントセキュリティの対策では、どちらも不可欠だと強調する。さらにEPPについては、ウイルス検知の能力も重要だが同時にパッチマネジメントも必要だ。パッチが正しく適用されていれば、攻撃の80%は阻止できるともいう。
平澤氏が挙げたこれら10の間違いについては、チェックリストを用意。「ぜひ皆さんこれを使って現状を把握し、その上でセキュリティ対策の将来像を描いてほしい」と平澤氏は呼びかけた。
クリックすると拡大します
WithSecureについて
WithSecure(旧名称:F-Secure)は信頼できるサイバーセキュリティパートナーです。ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社の業務を、成果ベースのソリューションによって保護し、大きな信頼を勝ち取っています。AIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を探し出し、セキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、伝統的な企業からスタートアップ企業に至る幅広い企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。
30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を生かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。1988年に設立されたWithSecure本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。
ウィズセキュア株式会社
〒105-0004
東京都港区新橋2丁目2番9号 KDX新橋ビル2階
Tel: 03-4578-7710 / E-mail: japan@withsecure.com
