EDRの運用と課題、効果的な利用のためのポイントとは
AIによって巧妙化するサイバー脅威への対処として、吉野氏は「サイバー攻撃による被害を最小限に食い止めるには、EDRを導入することが重要です」と述べた。
ESET技術部 吉野央樹氏
EDR(Endpoint Detection and Response)は、エンドポイント(パソコンやサーバーなどの端末)で発生するサイバー攻撃を検知し、迅速に対応するためのツールだ。基本的なサイバーインシデントレスポンスにおいて、事前対策として“ウイルス対策ソフト”などを導入している企業も少なくないだろう。しかし、“マルウェア侵入後”の対策も必要だ。そのためには脅威の検知、感染端末の隔離、被害の封じ込め、サイバー攻撃の被害状況の調査、そして感染端末の復旧を行わなければならない。EDRは、この一連の対応をサポートするためには欠かせないソリューションといっても過言ではないだろう。
ただし、あくまでもEDRは、“サイバー攻撃の可能性がある”挙動を検知するものであり、「これはマルウェアです」と断定して検知するのではなく、不審な挙動を捉える仕組みだということを認識しておきたい。また、EDRの効果を最大化するためには、「適切な運用」が不可欠となる。エンドポイントから収集されたイベント情報(ログ)の最適化や監視はもちろん、侵入を検知した際には初動対応を行わなければならない。もし、EDRを適切に運用できなければ、脅威を見逃したり、問題のないアプリケーションまでブロックしてしまったりする恐れがある。だからこそ、運用を担える人材確保も欠かせない。
[画像クリックで拡大]
吉野氏は、EDRの運用には予想以上に大きなコストがかかると指摘し、クライアントPC240台とサーバー10台、計250台を対象にしたコスト試算を提示。EDR導入のための初期最適化には40万円から170万円、日々の監視モニタリングには4700万円から6250万円(24時間365日監視した場合の1年間の費用)、サイバー攻撃の有無を調査するスレットハンティングには175万円(四半期に1回と任意のタイミングで1回の計5回分の費用)、インシデント対応には1300万円が必要だとする。
年間で最低でも5000万円以上の費用を見ておかなければならず、吉野氏は自社でEDRを運用するだけでなく、プロに運用を任せることも重要な選択肢だと説明した。
