Security Online Day 2022レポート（AD）

後悔する前に知っておきたい！　エンドポイント対策ツール選びで“よくある10の間違い”

EPPとEDRの役割を理解し、両輪でのセキュリティ対策を

2022/10/18 10:00

通知

　SecurityOnline Day 2022では、「“10の間違い”から見えてくる、知らないと損をするエンドポイント対策選定法」と題し、ウィズセキュア法人営業本部パートナーセールスセールスマネージャーの平澤喜海氏が、エンドポイントセキュリティ対策について解説した。特にセキュリティ専任スタッフがいない中小企業などは、エンドポイントのセキュリティ対策にかけられるリソースは限られる。そのような中小企業のエンドポイントセキュリティ対策選びで、よくある10の間違いを紹介し、対策方法を説明した。

通知

EDRがあればEPPは何でもいいわけではない

　平澤氏は20年前から、ITセキュリティおける様々な課題に対し、ゲートウェイやエンドポイントセキュリティ製品、クラウドベース、オンプレミスの様々なセキュリティソリューションを、顧客に提案、販売してきたという。このセッションでは、そんな平澤氏の経験の中で見えた、エンドポイントセキュリティ対策で“間違っているところ”をピックアップして紹介した。

　1つ目の間違いは「セキュリティバズワードに振り回される」だ。バズワードに関しては、様々な概念、ソリューションが登場しており、流行がある。顧客企業の環境が現状どうなっていて、今後のセキュリティ対策のゴールがはっきりと見えているのか。それらが定まっていないのに『流行っているから検討しましょう』『採用しましょう』というお客様が非常に多いです」と平澤氏。足元をしっかり見定めてから新たなソリューションを判断する必要があり、流行に惑わされないことが重要だと指摘する。

　2つ目の間違いは「EPPは何でもいい」という考え方だ。これは、EPP（Endpoint Protection Platform）が検知できなかったものは、EDR（Endpoint Detection and Response）が対応してくれるので、EPPの検知能力には期待せず何でもいいということ。これについても「流行に惑わされている」と指摘する。EPPの能力が低ければ、EDRに引き渡すタスクが増え、EPPの誤検知、過検知のアラートも含めすべてをEDRで処理しなければならない。これではEDR対応のタスクが増え、セキュリティ・オペレーション・センターの対応も増加してしまう。

　攻撃者は常に新しい攻撃手法を開発しており、アンチウイルスなどで検知できないようにしてくる。新たなマルウェアのソースコードはフレームワークの形でGitHubでも公開されており、今や誰でもそれをダウンロードし開発できる。そうやって作ったマルウェアをあるベンダーのEPP、EDRで検知できるか試すと、何のログも残さず検知できなかった例があるという。一方で、ウィズセキュアのEPP製品が入っている環境では、それを検知して駆除までできた。つまり、EPPの能力が高ければ、余計なタスクをEDRに渡すことがなくなる。EDRでの対処となれば、コストも人手も余計にかかる。そうなるかどうかは、EPPの能力に依存するのだ。

　3つ目の間違いはとにかく「機能が多ければ多いほどいい」ということ。機能が多ければ製品選定の際には魅力的に感じ、社内稟議も通しやすいかもしれない。しかし機能が増えれば、それだけ設定ミスや設定漏れが発生する可能性は増える。正しく機能を理解していないと、正しく利用することもできない。実際に設定ミスなどがセキュリティホールとなり、そこを攻撃されるケースはよくある。そういったことを踏まえ、製品の機能やサービスを固める必要があると指摘する。

　「とりあえず知名度の高いブランドを選んでおけばよい」との考え方が、4つ目の間違いだ。こういった考え方で導入すると、後々“問題になる”ケースもあるのだ。製品を提供する会社の規模が大きければ、なんとか対応してくれると考えるかもしれない。しかし「会社規模が大きいから問題解決能力が高いわけではありません。規模などを判断基準とせずに、正当な評価をすべきでしょう」と平澤氏はいう。また、他の案件でも利用しているので、同じベンダーにしようとの考え方もある。これも製品やサービスを正当に評価しているとは言えないと指摘する。

TCOも考慮してセキュリティ対策製品を選ぶ

　5つ目の間違いは、「EPPは悪意ファイルの処理だけできればいい」というもの。EPPは、ファイルの中に脅威が潜んでいるか、ファイルそのものが脅威かをハンドリングできればいいとの考え方だ。実際はファイルだけでなく、攻撃は様々な形で行われる。たとえばUSBメモリを媒体とする攻撃があり、特定のセキュリティホールを突くものもある。それらはOSなどへのパッチマネジメントでカバーするしかない。そのためエンドポイントセキュリティにおいては、ファイルハンドリングだけでなくOSはもちろん、その上のアプリケーションも含めパッチマネジメントを正しく行う必要がある。

　間違いの6つ目は、「Web保護はUTMで行っているのでエンドポイントはいらない」というもので、ある大手の企業で実際にあった話を紹介した。有名なEDR製品とNGAV（Next Generation Anti-Virus）を利用していても、サポート詐欺の被害に遭ってしまったのだ。この例では、あるURLをクリックしたら「PCデバイスがウイルスに感染しているので電話をしろ」とのポップアップメッセージが出る。電話をすると、リモート操作ツールをインストールさせられてしまう。その上で、不安を煽り対策のためのお金を請求するのだ。これに対してはたとえば、金融機関のサイトにアクセスすると詐欺の注意喚起をするポップアップメッセージが出るようにする仕組みを、ウィズセキュアでは提供している。

　そして「何かあったらMSS（マネージドセキュリティサービス）で対応するので手動隔離だけあればいい」が、7つ目の間違いだ。「Web通信におけるセキュリティ対策も非常に重要です。どのEDR製品もリモートからデバイスを隔離する機能を提供していますが、多くが手動での隔離しかできません」と平澤氏。24時間誰かが監視していて、危険が迫った際に手動で隔離することはできるかもしれない。しかしながら、人が判断するとなればタイムラグが発生する。ウィズセキュアではタイムラグを最小化し、脅威がある閾値を超えたら自動的に隔離することが可能だという。

　間違いの8つ目は「機能が増えればエージェントの数はいくつあってもいい」だ。エージェントの数が増えれば増えるほど、メンテナンスの機会は増える。メンテナンスの機会が増えれば、その対応作業が増えてコスト増につながる。エンドポイントを適切に保護するため、またはメンテナンスをしっかり行うためには、できるだけそういった負担は減らすべきだ。

　「管理コンソールが別々でも構わない」が、9つ目の間違いだ。製品によっては、EPPはクラウドベースで、EDRはオンプレミスの管理コンソールのものがある。両方ともクラウドベースでも、それぞれでコンソールが異なるケースもある。このようにバラバラでは余計に工数が発生することとなり、結果的にユーザーは統合管理ができる製品を後から求めることに。それであれば、最初から統合化された管理コンソールの製品を採用することが望ましい。

　最後の間違いが「ライセンス料金が安ければいい」だ。もちろんライセンス料金は安いほうがいいが、“ライセンス費用だけ”がセキュリティ対策に必要なコストではない。EPP、EDRを提供しているベンダーについては「テクノロジー側面で見ればものすごく大きな差があるわけではありません」と平澤氏。そうであるならば、たとえば5年間のTCO（Total Cost of Ownership：総保有コスト）が低いかどうかが重要な見極めポイントとなる。TCOは、ライセンス費用だけでなく誤検知、過検知が少ないことでハンドリングが減るなど、全体のコストを見る必要があるのだ。

EPPとEDRは役割が異なりエンドポイントの保護にはどちらも必要

　ここから平澤氏は、実際の画面を示しどのようにエンドポイントセキュリティを実現するかを説明した。前述したサポート詐欺の例の続きとして、講演時点で有効だった有名なセキュリティベンダーを装ったURLを示し、そこにアクセスする様子を紹介した。この詐欺のシナリオは、被害者には過払いをしているサービスがあるので返金できるとし、そのための手続きをさせるものだ。

　まず偽のサイトに誘導し、チケットナンバーを入力させる。実行ボタンをクリックすると、自動的に実行形式ファイルがダインロードされる。ダウンロードしたファイルからできたフォルダを見ようとすると、瞬時にウィズセキュアのEPPが脅威を検出しそれを取り除く様子が示された。

　このように「EPPの役割はここにあります。実際に被害が出てから調査するよりも、未然に防ぐことが望ましいのです」と平澤氏、若干のタイムラグの後にはさらにメッセージが出て、この端末がインターネットから完全に遮断され、社内サーバーや他の端末にもアクセスできなくなる様子も示した。この自動で遮断する機能そのものは、EPPと連携するEDRのものだ。

　ウィズセキュアのポータル画面も紹介。EPP、EDRそれぞれの統計情報が1つの管理コンソールから確認でき、それぞれの設定やアラート情報も1つのペインで見ることが可能だ。先ほどの詐欺の検出内容を見ると、EPP側ではダウンロードした内容に悪意のあるものが含まれていると判定されている。このマルウェアは多くのアンチウイルスでは、検知できないと平澤氏はいう。

　EDR側で見ると、危険度が中レベルと表示され、デバイスが隔離されていることも分かる。示した例では既に脅威は取り除かれており、デバイスを再び開放することが可能となっている。隔離からの開放は自動でも手動でもできる。またEPP、EDRで検出したものは、時系列で見ることもでき、調査がしやすいようにもなっている。EDRでは、自動応答などについてルールを設定でき、例では高レベル、中レベルの際に自動で隔離するようになっていた。他にも特定のサーバーを自動隔離の対象から外す設定なども可能だ。

　EPP、EDRの役割はそれぞれに異なる。EDRが重要でEPPが不要なわけでもなければ、EPPは何でもいいわけでもない。「EPPも重要な役割を持っています。EDRが新しいテクノロジーでEPPが旧いテクノロジーとの話もありますが、どちらも最新テクノロジーでエンドポイントを保護しています」と平澤氏。エンドポイントセキュリティの対策では、どちらも不可欠だと強調する。さらにEPPについては、ウイルス検知の能力も重要だが同時にパッチマネジメントも必要だ。パッチが正しく適用されていれば、攻撃の80％は阻止できるともいう。

　平澤氏が挙げたこれら10の間違いについては、チェックリストを用意。「ぜひ皆さんこれを使って現状を把握し、その上でセキュリティ対策の将来像を描いてほしい」と平澤氏は呼びかけた。

WithSecureについて

　WithSecure（旧名称：F-Secure）は信頼できるサイバーセキュリティパートナーです。ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社の業務を、成果ベースのソリューションによって保護し、大きな信頼を勝ち取っています。AIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を探し出し、セキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、伝統的な企業からスタートアップ企業に至る幅広い企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。

　30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を生かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。1988年に設立されたWithSecure本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。