EDRを“検知性能”で判断していないか　「平時と有事の相乗効果」が選定ポイントに

EDRを「検知性能」「UIのわかりやすさ」で判断していないか

　トレンドマイクロによる調査『ランサムウェア攻撃グローバル実態調査 2022年版』によると、企業の半数以上がEDRを導入していると回答（日本：56.7％、グローバル：51.3％）。XDRだと日本がやや少ない結果が示されている（日本：31％、グローバル：43.8％）。

　今、EDRやXDRを導入する企業は増えており、これから検討するという担当者も少なくないだろう。その際、重要視されるのは“性能“だが、トレンドマイクロ 釜池聡太氏は「各ベンダーの検知能力の差はわずか」と明かす。MITRE ATT&CK Evaluationsなど、第三者機関の調査を比較してみると、検知性能では大差ないことがわかる。「アラート対応の負担が少ないか、調査を行いやすいか、自社で運用可能かなどの観点で選ぶことが重要だ」と釜池氏。では、“UI”のわかりやすさ、使いやすさではどうか。

　実はここでも大差はない。もちろん運用担当者の好みはあるかもしれないが、重要な要素とはなりえない。実際はマネージドサービスを利用する企業が多く、コンソール（UI）を見ないためだ。また、マネージドサービスを利用しない場合でも、高スキルのエンジニアが操作することが多く、UIよりも必要な情報が素早く取得できるかが重要になる。

　では、何を基準にEDRベンダーを選べばいいのか。釜池氏が推奨する観点は、「企業信用度」「強力なEPPの同時提供」「セキュリティ拡張性」の3つだ。

　EDRに限らず、情報セキュリティ製品は導入して終わりではない。万が一、インシデントが発生した際の対応、長期の運用を考慮すると、企業への信頼性や存続性が非常に重要になる。

　その上で、強力なEPP（Endpoint Protection Platform）を同時提供しているのか。「EDRを導入するならEPPは不要」と考えがちだが、釜池氏は「EDRとEPPを両輪として利用することが欠かせず、有効なEPPを実装することが必要」と強調する。実際、標的型攻撃の多くはEPPで防御し、残りをEDRで検知する。つまり、EPPの段階でノイズが少ない状態にしておければ、EDRの運用負荷を減らすことができるのだ。

　また、EDRで未知の脅威に対応した後、“新たなパターンファイル”を発行してEPPにより組織内全体で再検査を行う。この一連の流れによって初めてインシデントを根絶させることができるため、強力なEPPとEDRがセットで使えることが重要になる。

　そして、セキュリティの拡張性も欠かせない。近年注目を集めているXDRは、EDRよりも広範な情報を収集でき、多くの脅威を検知・可視化できる。実際に多くのユーザーがEDRからXDRへと利用を拡大していくため、スムーズにXDRに拡張できるかも考慮しておくべきだ。

　「これからのサイバーセキュリティでは、『有事のセキュリティ』と『平時のセキュリティ』の両立が求められる」（釜池氏）

　有事とはインシデントが発生し、早急な火消しが求められている緊急状態。被害を最小限に抑えるためのレスポンス（対応）のため、リアクティブな状態にある。逆に平時とは、インシデントが発生していない平常状態。リスクの可視化やプロテクト（防御）を進め、“有事”を減らしていくようなプロアクティブな状態だ。

　そして、EDR/XDRは有事にこそ使われる製品であり、マルウェア感染などのサイバー攻撃を未然に防ぐような平時においては、EPPが使われる。他にも攻撃対象領域を管理するASM（Attack Surface Management）、すべてのリソースやトラフィックを信頼することなく常に検証するZTA（Zero Trust Architecture）も平時のセキュリティに分類できるという。

　ランサムウェア攻撃を参考にしても、EDRとEPPのように“有事と平時の相乗効果”を生むことの重要性がわかる。同攻撃では、VPN機器の脆弱性をついて侵入・潜伏し、運用していないポートやセキュリティ製品の不備を悪用しながら横展開、権限昇格を行って深部に侵攻していく。これを防ぐためには、平時からの素早い脆弱性対策、ポートの制限、ログの設定・収集が有効だ。

　経済産業省やIPA（情報処理推進機構）も、平時のセキュリティ対策と有事のセキュリティインシデント対応を一元的に統括する「セキュリティ統括機能」が必要だという見解を示している。

EDR/XDRだけでなく、EPPやASM、ZRAの“統合運用”が鍵に

　前述したような対処をどのように実現すべきか。釜池氏が所属するトレンドマイクロにおいては、総合サイバーセキュリティプラットフォーム「Trend Vision One」が有効だという。有事のセキュリティで機能するXDRだけではなく、平時のセキュリティとなるEPPやASM、ZTAを統合運用できる（もちろん、一部だけを利用することも可能だ）。

　初期フェーズはEPP/CWPP（Cloud Workload Protection Platform）で外部脅威からの防御、第2フェーズではEDRで侵入後の対策強化や未知の脅威検知、第3フェーズでEDRをネットワーク・メール・OTなどに拡張していく。そして、第4フェーズではASMやZTAでプロアクティブなセキュリティ対策を実装するなど、あらゆる企業セキュリティのロードマップに対応することが可能だ。すべてを同一プラットフォーム（コンソール）から提供できるため、費用対効果とセキュリティ効果も高い。

　では、冒頭に挙げた“3つの観点”から見るとどうか。

　まずは企業信用度、トレンドマイクロは35年にわたり日本に本社を置くセキュリティ専業ベンダーであり、今では東京証券取引所プライム市場にも上場している。世界15ヶ国に研究所があり、世界100ヶ国に50万もの顧客を抱える実績も持つ。加えて、同社が運営する脆弱性発見コミュニティ「ZDI（Zero Day Initiative）」には約1万人のセキュリティリサーチャーが所属しており、2021年に開示された脆弱性のうち64％はZDIが発見したものだという。

　また、顧客へのサポートが手厚いことも特長だ。日本法人対応部門のエンジニアは300人を超え、日本専任のインシデントレスポンスチームも設けられている。日本人エキスパートが“日本に影響を及ぼす”脅威を観測し、いち早く検知して対処ルールを作成して製品に反映するのは、トレンドマイクロならではだろう。

　そして、EDRとEPPの連携も確かだ。EPPで約9割の攻撃をブロック、残りをEDR/XDRで検知することで、作成されたパターンファイルからEPPが脅威の根絶に寄与できる。

　同社のEPPはパターンマッチングによるウィルス対策と、機械学習と挙動監視による次世代ウィルス対策の両方の機能をあわせ持ち、「AV-TEST Product Review and Certification Report」など第三者機関のテストにおいて防御能力は最高レベルの評価を獲得している。なお、「なぜ残りの1割がブロックできないのか」と感じるかもしれないが、ここはEPPそのものの限界と考えていいだろう。それ故にEDR単独ではなく、EPPとEDRの両輪で運用する必要がある。

　加えて、Trend Vision OneではXDRへの拡張もあらかじめ考慮されており、釜池氏は「エンドポイントだけではなく、メールやネットワーク、サーバーなど、まさにフルレイヤーでセキュリティ製品を提供している。それぞれを“XDRのセンサー”として活用し、ネイティブに分析できる点が大きな特長だ」と話す。

　一方で、多くのアラートが発報されることによる「アラート疲れ」を呼びかねない。そこでトレンドマイクロではデータを様々な形で絞り込み、関連するアラートを紐づけることで、本当に対応が必要なアラートだけを通知するように工夫を凝らしているという。なお、EDR/XDR の運用監視を行うマネージドサービス「Trend Micro Managed XDR」も提供している。

　また、ASMに該当する製品として「Trend Vision One － Attack Surface Risk Management（ASRM）」があり、攻撃可能性とビジネスへの影響度からリスク評価を行う。リスクを優先順位付けした上で修復案（パッチを当てるなど）を提示し、最終的にはユーザーが実行するかどうかを判断する。不正アカウントの検出や脆弱性管理、インターネット上のリスク検出など、ITデジタル資産を可視化・評価することが可能だ。

　最後に釜池氏は「ここまで述べたセキュリティ拡張を考えていなくても、将来的には視野に入ってくることでしょう。まずは、30日間有効な無料体験版で紹介したすべての機能を試すことができるため、ぜひ試してほしい」と呼びかけた。