EDRを“導入しただけ”の状態では本末転倒 有効活用させるには
サーバー環境のランサムウェア対策において、「防御と検知」を両立させながら「多層防御とEDRの実装」をかなえるには、どのようなポイントに留意すべきなのか。岡本氏は「多層防御と同様、EDRについても運用との兼ね合いが非常に重要」と語る。
そもそもEDRによる検知機能の導入目的は「いち早く攻撃に気づき、対処することで被害を最小化すること」にある。EDR製品はアラートに“リスクレベル”や“深刻度の情報”を付与したり、追加の調査に必要なリモートアクセス機能や、感染サーバーの隔離用機能などを提供したりするが、アラートごとにどの機能を使うかを判断するのは「セキュリティ担当者」だ。つまり、きちんと運用して初めて価値を発揮するものと理解しておく必要がある。
岡本氏は、サイバー攻撃を受けた企業の対応を時系列で提示し、「EDRでランサムウェアに早く気づけても、そこから先の対応として、被害範囲の確認や被害復旧、脅威根絶の作業に時間がかかっては意味がない。EDRはいち早くランサムウェアを検知するが、より重要なのは迅速に対処すること」と指摘する。
実際、岡本氏によると、EDR導入後に十分な対応ができておらず、その価値を享受できていないケースが多いという。「想像以上にアラートが発報されて確認が追いつかない」「そもそも、アラートを見ても内容がわからない」「対処が必要そうだと感じるが、具体的に何をすれば良いのか……」など、“導入すれば終わり”というわけではないことが伺える。
この「EDR運用の壁」を乗り越えるために有効なのが、「EDRのマネージドサービス」だ。監視のための人的リソース、検知結果の解析にかかる工数、専門知識のあるセキュリティ人材などに係わる負担を軽減できる。それは結果として、インシデントによる被害の最小化にもつながるだろう。当然ながら、EDRにかかっていたリソースを他の業務へと転換することも可能だ。有事には、専門家の支援を受けてインシデント対応を迅速に進められ、社内外への説明や報告などにリソースを割けるというメリットもある。
そこで、トレンドマイクロでは、EDRの導入を検討している企業はもとより、既にEDRを導入した企業に対してもマネージドサービスの活用を進めているという。その活用によって、EDRだけでなく同社XDRの機能についても工数削減がかなう面でも、導入メリットは大きいと言えるだろう。
岡本氏は、実際にトレンドマイクロのマネージドサービス「Trend Micro Managed XDR」を導入した場合のコストについて、第三者機関がまとめたデータを紹介。自社でEDRを運用する場合と比べ、ランサムウェアやマルウェアへの感染、データ侵害などのリスクも加味したトータルなセキュリティコストについて、約79%の削減に成功した例もあるという。
岡本氏は「せっかくEDRを導入しても『運用の壁』でインシデントに気づけないようでは本末転倒。マネージドサービスの活用で、最小限の工数でインシデントに対応し、被害を最小化し、結果としてセキュリティの全体コストを削減できる可能性がある」と語る。そして、「サーバー環境を狙うランサムウェアが増加する中で、多層防御と検知の仕組みが必須。これを効率よく実装するには、『Trend Vision One – Endpoint Security』が有効。さらにその運用は、セキュリティのプロであるトレンドマイクロの知見を活かした運用サービスが効果的であり、ぜひ検討していただきたい」と述べ、セッションのまとめとした。
