サイバー攻撃が高度化し、EPP(Endpoint Protection Platform)だけではセキュリティ上の脅威に対処することが難しくなってきている現在、EDREndpoint Detection and Response)は早急に導入を検討すべきソリューションの一つだ。導入を急がなければ立場が危ない情シスがここにもひとりーーー

多田野部長

さてと、今週末はどこに遊びに行こうかな。まずはグルメサイトを覗いてみるか。

Dr. Protocol

多田野部長がのんきな顔でネットサーフィンしてるな。これはチャ~ンス。ウイルスをたっぷり仕込んだサイトを作っといたから、そこにご招待してやろ~っと。
マルチLANハンド!!

~Dr.ProtocolEquipment①:マルチLANハンド~

Dr.プロトコルの武器のひとつ。伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

多田野部長

おや、メールが届いたぞ。なになに、レストランのオープン記念でランチ1回無料サービス?これはちょうどいい。詳細はサイトで確認か、よし、URLをクリックしてと…住所と連絡先とカード情報を入力っと。・・・うん?カード情報?無料ランチ招待なのにか?うわ!なんだこのメッセージは。ウイルスに感染だと?!

にのまえ はじめ

どうしたんです、部長、大声出して?

多田野部長

おお、にのまえくん、ちょうどいいところに来た。これを見てくれ!!

にのまえ はじめ

えっ、ウイルスに感染!?そんなはずは…。だって社内のPCには全台、ウイルス対策ソフトを導入してるんですから!!

Dr. Protocol

ククククッ、私の手にかかれば、新種のマルウェアを仕掛けることなど朝飯前だ。単なるパターンマッチングだけのアンチウイルスソフトで、私の最新の攻撃を防げると思うなよ。それそれ、多田野部長のPCだけじゃなく、そこら中のPCにウイルスをバラまいちゃうよ~ん。

にのまえ はじめ

あなたはDr.プロトコル!?わぁ~やめてくれ~。Joshisumanさん!助けて~!!

Joshisu Man

どうしたはじめ、PCを抱えて走り回って?

にのまえ はじめ

あ、Joshisumanさん、見てください、ウイルスがそこら中のPCに。Dr.プロトコルがバラまいているんです。

Joshisu Man

ムッ、性懲りもなく、Dr.プロトコルめ、くらえ、光ファイバーテイル!!

Dr. Protocol

ギャッ、な、何をする、いきなりぶったたきやがって。ウッ、Joshisumanか、フン、さすがに登場が早いな。だが、もう手遅れだよ~ん。はじめくんの会社は防御が薄いからすでに突破済み、そこら中のPCやサーバにウイルスを感染させたもんね~。悔しかったら対処してみるんだね~。それじゃ、これ以上たたかれる前に、サラバ!!フォン。

にのまえ はじめ

ああ、Dr.プロトコルが好き放題やって去っていく。どうしましょう、Joshisumanさん、このままじゃ社内にウイルスが蔓延しちゃいます。情報漏洩?データの破壊?なにが起こるかわからない、もう、おしまいだあ!!

Joshisu Man

パニくるな、はじめ。大丈夫、私にまかせておけ。たとえセキュリティ防御の壁を突破されても、EDRがある。

にのまえ はじめ

EDR?なんとなく聞いたことあるけど、アンチウイルスソフトを導入しているから我が社には必要ないと思ってました…。

Joshisu Man

何を言ってるんだ。EDRこそ、サイバー攻撃が高度化した今の時代に導入すべきソリューションのひとつなんだぞ。

EDRとは

EDR(Endpoint Detection and Response)とは、Endpoint(PCや社有スマホ、サーバ等のネットワーク端末)へのサイバー攻撃をDetection(検知)し、被害が拡大しないようResponse(対処)するソリューションである。
サイバー攻撃が社内に届かないようにファイアウォールを設置したり、社内のPCをアンチウイルスソフトで守ったりしても、すべての攻撃を防御できるわけではない。
EDRはそんな、侵入された後、感染してしまった後に対処する仕組みをもったソリューションである。

にのまえ はじめ

なるほど、EDRはマルウェア被害に遭ってしまった後、甚大な被害に繋げない為の対処をしてくれるんですね。

EDRが必要な理由や背景とは?

サイバー攻撃は日々、高度化している。
アンチウイルスソフトなどセキュリティ製品も進化しているのだが、巧妙な手口を駆使して侵入・感染を試みるそれらの脅威を、アンチウイルスソフトだけですべて防ぐのは事実上不可能である。
また、テレワークが常態化している現在、防御すべきポイントも社内のみから社外ネットワークを含む領域へと広がっている。
このようにセキュリティ対策ポイントが広がっていることに対応するためにも、あるいはマルウェアへの感染などの被害に遭遇した後、それら脅威を迅速に検知し対応するためにも、EDRの導入が必要不可欠な状況となっているのだ。

にのまえ はじめ

今は社内とインターネットの境界線を守るだけじゃダメなんですね。
たしかにテレワークが定着しているし、そこからウイルスが侵入することも考えられる。さらには侵入された後のことも考えなければならないってことか。
でもEDRって具体的にはどんなことをしてくれるんだろう。

Joshisu Man

うむ、それではEDRの仕組みについての説明を見てみようか。

EDRの仕組みや機能とは

EDRの仕組みとして最も特徴的なことは、全てのエンドポイントに対してプログラムやプロセスを監視し、ログを収集していることだろう。EDRによってリアルタイムにログが解析され、サイバー攻撃等の脅威を検出、管理者に通知をする。
また重大リスクだと判断される場合には、自動的に感染した対象をネットワークから切り離す措置をとる。並行して管理者は通知された内容の詳細を管理画面で確認し、検知された脅威に応じた適切な対応を行うことができる。

EDRのプロセス

検知

マルウェアが攻撃を開始する前、あるいは攻撃を開始した際にそれを検知して、マルウェアだと思われるプログラムやプロセスが動いている場所を特定し、管理者にアラートを送る。
マルウェアに対して迅速に検知されることが重要だ。
また、今回の多田野部長のように画面上に感染がわかりやすく出る場合とは異なる「気が付かないうちに」侵入、攻撃を仕掛けるマルウェア(ファイルレスマルウェアなど)に対しても効果を発揮する。

※ファイルレスマルウェア実行ファイルを使わず、OSに元からある機能を対象とした攻撃手法。

隔離

検知された情報をもとに、管理者によって怪しい動きをするプロセスを即時停止させる感染した端末を社内ネットワークから切り離すことで感染拡大による二次被害、三次被害を防ぐ。
感染させないことも重要だが、巧妙化されるサイバー攻撃に対して100%安全な防御は難しい。セキュリティインシデントが起こると多くの手間やコストがかかることからも、侵入後の被害を最小限に抑えることが重要だ。

調査

EDRは、通常ではあり得ない動きや不審な動きがないかを常時監視することで、怪しいプログラムやプロセスを検知する為、マルウェアの感染がどこから始まったのか、侵入経路やその影響範囲を調査をすることが容易になるというのも特徴のひとつだ。原因箇所を特定し、脅威として把握出来れば再発防止に努める事もできるだろう。

復旧

隔離された感染端末のマルウェアを駆除して復旧。検知・隔離のフェーズをスピーディに実行することで、復旧も最小限の範囲で行うことが可能になる。

にのまえ はじめ

そうか、クライアントPCやサーバなどのエンドポイントからログを収集、分析して、不審な動きがないかを確認してるんですね。
これ、EDRなかったら、正確な感染範囲を調べるだけで時間がかかりそうだ。その間に被害が広がってくのか…それはおそろしいな…

Joshisu Man

そのとおり。にのまえのように一人で情シスを担当している場合は、感染が発生したときにEDRがないと復旧までにかなりの時間を取られてしまい、その間事業がとまってしまうこともあるぞ。
また、EDRとセットでよく聞くだろうEPPというものがあるが、それらの違いも見ておこうか。

にのまえ はじめ

はい、よろしくお願いします。

似たようなツール「EPP」との違いとは

EPPEndpoint Protection Platform)とは、PCやサーバがウイルス感染等のマルウェア被害を防ぐことを目的とした製品で、従来のアンチウイルスソフトやNGEPPNext Generation Endpoint Protection PlatformNGAVNext Generation Anti-VirusEPPに分類されるツールだろう。
パターンマッチングによる既知の型のウイルス検知、駆除が主な機能だが、最近ではネットワークとは別のサンドボックスという領域内でウイルスの振る舞いを解析して疑わしいものを検知するなど、未知のウイルスを検出するような技術も取り入れられている。
しかしマルウェア側の進化もこれを上回り、サンドボックス内では自らの挙動を停止するものも出現していたり、パターンマッチングに引っかかりにくいファイルレスマルウェアも多く出回っている。
EPPはマルウェアなどの脅威からエンドポイントを防御するものEDR感染したことを検知し、対応を行うもの、つまり事前対応を主眼とするのがEPP、事後対応を主眼とするのがEDRということである。
脅威に対応するタイミングが違うわけであるから、どちらがいらないということはなく、どちらも必要不可欠なセキュリティソリューションなのだ。

にのまえ はじめ

はっきりと飲み込めてきました。事前対応と事後対応、EPPとEDRではそれぞれ役割が違うということですね。

Joshisu Man

そうだ。わかってきたじゃないか、はじめ。ではつぎにEDRが対応できる範囲を少し詳しく見てみようか。

EDRが対応できるセキュリティ範囲とは

EDRはエンドポイントがマルウェア等に感染したことを検知し、それに迅速に対応することが主な機能である。
したがってEDR単体では、外からの侵入を防いだり、感染を防ぐことはできない。それらを行うにはEPPが必要となる。
つまりサイバー攻撃の脅威からエンドポイントを守るには、EPPで可能な限り防御し、すり抜けてきた脅威をEDRで検知、対応するといった総合的な対処が必要となるのだ。

にのまえ はじめ

わかりました。我が社でも早急にEDRの導入を検討したいと思います。ところで選定のポイントとかはあるんですか?

Joshisu Man

それでは選定のポイントを説明しようか。

EDR導入時の選定ポイントとは

EDRサービスは様々な事業者から提供されている。導入時には主に以下3つのポイントを確認しながら検討をするのがよいだろう。

検知能力

EDRの性質上、検知する能力が高いことは絶対条件だ。EPPをすり抜けてくる最新の脅威をいかに検知するかが、EDRを活用する上で重要なポイントとなる。検知率が低いのでは意味がない。製品として検知率が一定の評価を得ているものを選びたいところだ。

運用の容易さ

高い検知率を目指すと付きまとうのは誤検知だ。そして誤検知を判断するのは人間の作業である。効果的、且つ効率的なEDRの運用には、適切な判断が出来る人材が必要ともいえる。EDRの機能がいかに優秀でも、適切な運用ができなければ宝の持ち腐れだろう。
EDRは集積されたログによって、マルウェアの侵入から攻撃開始までのプロセスを可視化する事が出来る。それによりインシデント発生後の調査の一助にもなるのだが、社内にログを読み解ける人材がいるという前提条件がついて回る。そのような人材を抱えていない場合は、スキルやノウハウを補完するマネージドサービスがセットであるとありがたい。自社にとって運用が容易なソリューションを選定するというのも大切なポイントとなる。

(セキュリティ人材が確保できていないがEDRを運用したいという企業にこそお薦めしたいサービスがこちら)

第三者による評価

数多くのEDR製品が流通している中、その選定に第三者の評価を参考にするのもひとつの方法である。
たとえば調査会社が発行している市場調査レポートなどを参照してみるのも、製品選定の助けとなる。

例としてITコンサルティング会社ガートナーが発行している「Magic Quadrant」などがある。

にのまえ はじめ

選定のポイントはだいたい掴めました。Joshisumanさんのおすすめも聞いてみたいんですけど?

Joshisu Man

では私のおすすめを紹介しよう!

【解決】~ICT SOLUTION!~

EDRにおすすめのサービスとは?

「USEN GATE 02― セキュアエンドポイントサービス(Va) ―」はおすすめできるEDRサービスの一つだ。

EPPとEDR、そしてMSS(マネージメントサービス)を組み合わせたトータルエンドポイントセキュリティサービスとなっており、エンドポイントセキュリティ対策の強い味方となるだろう。
主な特徴は以下の通りだ。
・EPPによる未知のウイルスにも対応した高精度なスキャン
・EDRによるプロセス監視、アラートメール通知、対象の自動隔離など
・MSSでログを解析し、解説メールを通知、電話によるサポートも行ってくれる
・クラウドタイプのため専用サーバ不要、EPPとEDRは1つのアプリで動作

にのまえ はじめ

EPP、EDRとも機能が十分だ。EPPとEDRを連携して使えるんですね、管理もしやすそうです。ログの解析や解説も行ってくれるんですか!?これなら僕にも運用できそうです。ありがとうございます!

Joshisu Man

ハハハハッ、無事、解決したようだな!強い情シスが企業を伸ばす!
また会おう!さらばだ!

まとめ

既知の脅威は、そのほとんどをEPP等の予防ソリューションで防ぐことができる。しかし100%ではない。高度化している標的型サイバー攻撃や未知のマルウェアなど、会社のリソースに重大な損失を与える可能性のある脅威のすべてを事前に防御することは不可能だ。したがってそれらの侵入を前提として対処できるEDRの導入が不可欠なのである。「USEN GATE 02― セキュアエンドポイントサービス(Va」は、EPPEDRを組み合わせて水際の防御から万が一侵入された場合の事後対応までをトータルにサポートしてくれる。加えてMSSのサービスにより、必要十分なサポートを受けることができるだろう。

■「USEN GATE 02―セキュアエンドポイントサービス(Va) ―」

・EPPによるパターンマッチングとふるまい検知による高精度なスキャン
(ウィルス検知率を評価する独立機関AV-Test Instituteの「Best Protection Award」を7度受賞)
・EDRによるプロセス監視、アラートメール通知、対象の自動隔離
・MSSでログを解析し、解説メールを通知、電話によるサポートも行ってくれる
・クラウドタイプのため専用サーバ不要、EPPとEDRは1つのアプリで動作


    TO BE CONTINUED…

    この記事に関連するお役立ち資料はこちら

    ITセキュリティ劇場これだけは覚えて!!EDR

    このホワイトペーパー(WP)では、今、注目のEDRに関する情報を、初めての方でもわかるように会話形式で、難しい“カタカナ用語”も “わかりやすく”解説しています!

    セキュリティに関する4つのキーワード「エンドポイント」「EPP」「EDR」「サプライチェーン攻撃」が出てきます。

    ダウンロードする

    さらに理解を深めたい方にオススメの記事はこちら