EDRを“検知性能”で判断していないか　「平時と有事の相乗効果」が選定ポイントに

EDRを「検知性能」「UIのわかりやすさ」で判断していないか

　トレンドマイクロによる調査『ランサムウェア攻撃グローバル実態調査 2022年版』によると、企業の半数以上がEDRを導入していると回答（日本：56.7％、グローバル：51.3％）。XDRだと日本がやや少ない結果が示されている（日本：31％、グローバル：43.8％）。

　今、EDRやXDRを導入する企業は増えており、これから検討するという担当者も少なくないだろう。その際、重要視されるのは“性能“だが、トレンドマイクロ 釜池聡太氏は「各ベンダーの検知能力の差はわずか」と明かす。MITRE ATT&CK Evaluationsなど、第三者機関の調査を比較してみると、検知性能では大差ないことがわかる。「アラート対応の負担が少ないか、調査を行いやすいか、自社で運用可能かなどの観点で選ぶことが重要だ」と釜池氏。では、“UI”のわかりやすさ、使いやすさではどうか。

　実はここでも大差はない。もちろん運用担当者の好みはあるかもしれないが、重要な要素とはなりえない。実際はマネージドサービスを利用する企業が多く、コンソール（UI）を見ないためだ。また、マネージドサービスを利用しない場合でも、高スキルのエンジニアが操作することが多く、UIよりも必要な情報が素早く取得できるかが重要になる。

　では、何を基準にEDRベンダーを選べばいいのか。釜池氏が推奨する観点は、「企業信用度」「強力なEPPの同時提供」「セキュリティ拡張性」の3つだ。

　EDRに限らず、情報セキュリティ製品は導入して終わりではない。万が一、インシデントが発生した際の対応、長期の運用を考慮すると、企業への信頼性や存続性が非常に重要になる。

　その上で、強力なEPP（Endpoint Protection Platform）を同時提供しているのか。「EDRを導入するならEPPは不要」と考えがちだが、釜池氏は「EDRとEPPを両輪として利用することが欠かせず、有効なEPPを実装することが必要」と強調する。実際、標的型攻撃の多くはEPPで防御し、残りをEDRで検知する。つまり、EPPの段階でノイズが少ない状態にしておければ、EDRの運用負荷を減らすことができるのだ。

　また、EDRで未知の脅威に対応した後、“新たなパターンファイル”を発行してEPPにより組織内全体で再検査を行う。この一連の流れによって初めてインシデントを根絶させることができるため、強力なEPPとEDRがセットで使えることが重要になる。

　そして、セキュリティの拡張性も欠かせない。近年注目を集めているXDRは、EDRよりも広範な情報を収集でき、多くの脅威を検知・可視化できる。実際に多くのユーザーがEDRからXDRへと利用を拡大していくため、スムーズにXDRに拡張できるかも考慮しておくべきだ。

　「これからのサイバーセキュリティでは、『有事のセキュリティ』と『平時のセキュリティ』の両立が求められる」（釜池氏）

　有事とはインシデントが発生し、早急な火消しが求められている緊急状態。被害を最小限に抑えるためのレスポンス（対応）のため、リアクティブな状態にある。逆に平時とは、インシデントが発生していない平常状態。リスクの可視化やプロテクト（防御）を進め、“有事”を減らしていくようなプロアクティブな状態だ。

　そして、EDR/XDRは有事にこそ使われる製品であり、マルウェア感染などのサイバー攻撃を未然に防ぐような平時においては、EPPが使われる。他にも攻撃対象領域を管理するASM（Attack Surface Management）、すべてのリソースやトラフィックを信頼することなく常に検証するZTA（Zero Trust Architecture）も平時のセキュリティに分類できるという。

　ランサムウェア攻撃を参考にしても、EDRとEPPのように“有事と平時の相乗効果”を生むことの重要性がわかる。同攻撃では、VPN機器の脆弱性をついて侵入・潜伏し、運用していないポートやセキュリティ製品の不備を悪用しながら横展開、権限昇格を行って深部に侵攻していく。これを防ぐためには、平時からの素早い脆弱性対策、ポートの制限、ログの設定・収集が有効だ。

　経済産業省やIPA（情報処理推進機構）も、平時のセキュリティ対策と有事のセキュリティインシデント対応を一元的に統括する「セキュリティ統括機能」が必要だという見解を示している。