EDRとは?機能や必要性、EPPとの違いについて解説!情シスマンがICT Solution!
サイバー攻撃が高度化し、EPP(Endpoint Protection Platform)だけではセキュリティ上の脅威に対処することが難しくなってきている現在、EDR(Endpoint Detection and Response)は早急に導入を検討すべきソリューションの一つだ。導入を急がなければ立場が危ない情シスがここにもひとりーーー
さてと、今週末はどこに遊びに行こうかな。まずはグルメサイトを覗いてみるか。
多田野部長がのんきな顔でネットサーフィンしてるな。これはチャ~ンス。ウイルスをたっぷり仕込んだサイトを作っといたから、そこにご招待してやろ~っと。
マルチLANハンド!!
マルチLANハンド
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
おや、メールが届いたぞ。なになに、レストランのオープン記念でランチ1回無料サービス?これはちょうどいい。詳細はサイトで確認か、よし、URLをクリックしてと…住所と連絡先とカード情報を入力っと。・・・うん?カード情報?無料ランチ招待なのにか?うわ!なんだこのメッセージは。ウイルスに感染だと?!
うわ、多田野部長がまたなんか変なのにひっかかってる…。
ウイルスに感染!?そんなはずは…。だって社内のPCには全台、ウイルス対策ソフトを導入してるのに…
どうしたはじめ、PCを抱えて走り回って?
あ、情シスマンさん、見てください、ウイルスがそこら中のPCに。は!もしかしてまたDr. プロトコルがバラまいているのかも…。
ムッ、性懲りもなく、Dr. プロトコルめ、くらえ、光ファイバーテイル!!
ギャッ、な、何をする、いきなりぶったたきやがって。ウッ、情シスマンか、フン、さすがに登場が早いな。だが、もう手遅れだよ~ん。はじめくんの会社は防御が薄いからすでに突破済み、そこら中のPCやサーバにウイルスを感染させたもんね~。悔しかったら対処してみるんだね~。それじゃ、これ以上たたかれる前に、サラバ!!フォン。
ああ、Dr. プロトコルが好き放題やって去っていく。どうしましょう、情シスマンさん、このままじゃ社内にウイルスが蔓延しちゃいます。情報漏洩?データの破壊?なにが起こるかわからない、もう、おしまいだあ!!
パニくるな、はじめ。大丈夫、私にまかせておけ。たとえセキュリティ防御の壁を突破されても、EDRがある。
EDR?なんとなく聞いたことあるけど、アンチウイルスソフトを導入しているから我が社には必要ないと思ってました…。
何を言ってるんだ。EDRこそ、サイバー攻撃が高度化した今の時代に導入すべきソリューションのひとつなんだぞ。
調査
- 日々、巧妙化し続けているサイバー攻撃に対応したい。
- 万が一、会社のセキュリティ対策の壁が突破されて社内に侵入されたとしても、その脅威をいち早く検知し、被害が広がる前に対処したい。
- テレワークが常態化している現在、社外に存在しているエンドポイントのセキュリティ対策も行いたい。
EDRとは
EDR(Endpoint Detection and Response)とは、Endpoint(PCや社有スマホ、サーバ等のネットワーク端末)へのサイバー攻撃をDetection(検知)し、被害が拡大しないようResonse(対処)するソリューションである。
サイバー攻撃が社内に届かないようにファイアウォールを設置したり、社内のPCをアンチウイルスソフトで守ったりしても、すべての攻撃を防御できるわけではない。
EDRはそんな、侵入された後、感染してしまった後に対処する仕組みをもったソリューションである。
なるほど、EDRはマルウェアの侵入を許してしまった後、甚大な被害に繋げない為の対処をしてくれるんですね。
EDRが必要な理由や背景とは?
近年、EDRが重要だと言われているポイントを解説しよう。
巧妙・高度化するサイバー攻撃への対策が必要
サイバー攻撃は日々、高度化している。
アンチウイルスソフトなどセキュリティ製品も進化しているのだが、巧妙な手口を駆使して侵入・感染を試みるそれらの脅威を、アンチウイルスソフトだけですべて防ぐのは事実上不可能なのだ。
緊急の対応も可能になる
もしセキュリティ対策を突破して端末がウイルスに完成してしまった場合、その端末がネットワークにつながったままだと感染が拡大してしまうリスクがあるため、すぐにネットワークから切り離す必要がある。しかし実際のところ人が気づいた時には既に広範囲に拡散が済んでしまっているケースもあるだろう。
EDRを導入することで、端末の挙動から感染状況をチェックしたり、いざというときに自動でネットワーク隔離の対応をすることができるため、重宝されるのだ。
テレワーク普及によるエンドポイントのリスク増加
テレワークが常態化している現在、社内だけでなく出先や従業員自宅等、社外ネットワークを含んだ広範囲までセキュリティ意識を広げなければいけない。社外に持ち出した端末から情報漏えいしたり、社外から持ち込む端末から感染したり、社内・社外だけで切り分けられない状況になっている。
このようにセキュリティ対策ポイントが広がっていることに対応するためにも、あるいはマルウェアへの感染などの被害に遭遇した後、それら脅威を迅速に検知し対応するためにも、EDRの導入が必要不可欠な状況となっているのだ。
今は社内とインターネットの境界線を守るだけじゃダメなんですね。
たしかにテレワークが定着しているし、そこからウイルスが侵入することも考えられる。さらには侵入された後のことも考えなければならないってことか。
でもEDRって具体的にはどんなことをしてくれるんだろう。
うむ、それではEDRの仕組みについての説明を見てみようか。
EDRの仕組みや機能とは
EDRの仕組みとして最も特徴的なことは、全てのエンドポイントに対してプログラムやプロセスを監視し、ログを収集していることだろう。EDRによってリアルタイムにログが解析され、サイバー攻撃等の脅威を検出、管理者に通知をする。
また重大リスクだと判断される場合には、自動的に感染した対象をネットワークから切り離す措置をとる。並行して管理者は通知された内容の詳細を管理画面で確認し、検知された脅威に応じた適切な対応を行うことができる。
検知
マルウェアが攻撃を開始する前、あるいは攻撃を開始した際にそれを検知して、マルウェアだと思われるプログラムやプロセスが動いている場所を特定し、管理者にアラートを送る。
マルウェアに対して迅速に検知されることが重要だ。
また、今回の多田野部長のように画面上に感染がわかりやすく出る場合とは異なる「気が付かないうちに」侵入、攻撃を仕掛けるマルウェア(ファイルレスマルウェア※など)に対しても効果を発揮する。
※ファイルレスマルウェア…実行ファイルを使わず、OSに元からある機能を対象とした攻撃手法。
隔離
検知された情報をもとに、管理者によって怪しい動きをするプロセスを即時停止させる→感染した端末を社内ネットワークから切り離すことで感染拡大による二次被害、三次被害を防ぐ。
感染させないことも重要だが、巧妙化されるサイバー攻撃に対して100%安全な防御は難しい。セキュリティインシデントが起こると多くの手間やコストがかかることからも、侵入後の被害を最小限に抑えることが重要だ。
調査
EDRは、通常ではあり得ない動きや不審な動きがないかを常時監視することで、怪しいプログラムやプロセスを検知する為、マルウェアの感染がどこから始まったのか、侵入経路やその影響範囲を調査をすることが容易になるというのも特徴のひとつだ。原因箇所を特定し、脅威として把握出来れば再発防止に努める事もできるだろう。
復旧
隔離された感染端末のマルウェアを駆除して復旧。検知・隔離のフェーズをスピーディに実行することで、復旧も最小限の範囲で行うことが可能になる。
そうか、クライアントPCやサーバなどのエンドポイントからログを収集、分析して、不審な動きがないかを確認してるんですね。
これ、EDRなかったら、正確な感染範囲を調べるだけで時間がかかりそうだ。その間に被害が広がってくのか…それはおそろしいな…
そのとおり。はじめのように一人で情シスを担当している場合は、感染が発生したときにEDRがないと復旧までにかなりの時間を取られてしまい、その間事業が止まってしまうこともあるぞ。
EDRが対応できるセキュリティリスクとは
EDRはエンドポイントがマルウェア等に感染したことを検知し、それに迅速に対応することが主な機能である。
アンチウイルスソフトでは検知できない(気が付かない)侵入
EDRの機能である「検知」では、アンチウイルスソフトなどでは検知できない(気が付かない)侵入を検知することができる。
検知がしっかり行われることで、その後の迅速な対応につなげることができるのだ。
侵入後の被害拡大(二次被害・三次被害)
どんなに防御しても侵入されてしまうこともある。そういったときに必要なのが、早期検知・即隔離である。
EDRの機能である「検知」と「隔離」によって、その迅速な対応が可能となり、感染拡大を防ぐことできるのである。
また、「復旧」の機能により端末を安全な状態に戻すことができる。
再発防止調査などの手間が増大
「調査」の機能によって、EDRのサービス内で感染経路などの調査・分析を行うことができ、再発防止調査などの手間を省くことができる。
EDRが対応できないセキュリティリスク
EDR単体では、外からの侵入を防いだり、感染を防ぐことはできない。それらを行うにはEPPが必要となる。
つまりサイバー攻撃の脅威からエンドポイントを守るには、EPPで可能な限り防御し、すり抜けてきた脅威をEDRで検知、対応するといった総合的な対処が必要となるのだ。
「EPP」とは?EDRとの違いについても解説
EPP(Endpoint Protection Platform)とは、PCやサーバがウイルス感染等のマルウェア被害を防ぐことを目的とした製品で、従来のアンチウイルスソフトやNGEPP(Next Generation Endpoint Protection Platform)、NGAV(Next Generation Anti-Virus)もEPPに分類されるツールだろう。
パターンマッチングによる既知の型のウイルス検知、駆除が主な機能だが、最近ではネットワークとは別のサンドボックスという領域内でウイルスの振る舞いを解析して疑わしいものを検知するなど、未知のウイルスを検出するような技術も取り入れられている。
しかしマルウェア側の進化もこれを上回り、サンドボックス内では自らの挙動を停止するものも出現していたり、パターンマッチングに引っかかりにくいファイルレスマルウェアも多く出回っている。
EPPはマルウェアなどの脅威からエンドポイントを防御するもの、EDRは感染したことを検知し、対応を行うもの、つまり事前対応を主眼とするのがEPP、事後対応を主眼とするのがEDRということである。
脅威に対応するタイミングが違うわけであるから、どちらがいらないということはなく、どちらも必要不可欠なセキュリティソリューションなのだ。
はっきりと飲み込めてきました。事前対応と事後対応、EPPとEDRではそれぞれ役割が違うということですね。
そうだ。わかってきたじゃないか、はじめ。
我が社でも早急にEDRの導入を検討したいと思います。ところで選定のポイントとかはあるんですか?
それでは選定のポイントを説明しようか。
EDR導入時の選定ポイントとは
EDRサービスは様々な事業者から提供されている。導入時には主に以下6つのポイントを確認しながら検討をするのがよいだろう。
導入目的の明確化
自社のセキュリティリスクや情シスリソース、運用スキルと照らし合わせて、誰がどういった目的でどのように運用していくのかを考えたうえで、サービス選定に入ると自社に必要な機能を持ったEDRサービスを選ぶことができる。
もしこの段階でつまづくようであれば、いったん総合的にICTサービスを扱っているマルチベンダ相談するのが良いだろう。
検知能力
EDRの性質上、検知する能力が高いことは絶対条件だ。EPPをすり抜けてくる最新の脅威をいかに検知するかが、EDRを活用する上で重要なポイントとなる。検知率が低いのでは意味がない。製品として検知率が一定の評価を得ているものを選びたいところだ。
運用の容易さ
高い検知率を目指すと付きまとうのは誤検知だ。そして誤検知を判断するのは人間の作業である。効果的、且つ効率的なEDRの運用には、適切な判断が出来る人材が必要ともいえる。EDRの機能がいかに優秀でも、適切な運用ができなければ宝の持ち腐れだろう。
EDRは集積されたログによって、マルウェアの侵入から攻撃開始までのプロセスを可視化する事が出来る。それによりインシデント発生後の調査の一助にもなるのだが、社内にログを読み解ける人材がいるという前提条件がついて回る。そのような人材を抱えていない場合は、スキルやノウハウを補完するマネージドサービスがセットであるとありがたい。自社にとって運用が容易なソリューションを選定するというのも大切なポイントとなる。
オンプレミスかクラウドか
EDRの提供形態として「オンプレミス」と「クラウド」がある。
自社内インフラで運用するオンプレミスの方が、カスタマイズ性に優れ、ネットワークのセキュリティも担保しやすい反面、コストが増大しやすく、災害などにも弱いというデメリットもある。
一般的にクラウド型のEDRを導入することが多いが、自社の運用と照らし合わせて形態も選ぶとよい。
他サービスとの相性
すでに導入している、もしくはこれから導入したいセキュリティサービスと相性がよいかも重要なポイントだ。
あくまでも「検知」「隔離」が主機能であるEDRにプラスして様々なセキュリティ対策を施していくのが一般的であるため、その他導入している・するサービスとの相性は確認しておく必要があるぞ。
第三者による評価
数多くのEDR製品が流通している中、その選定に第三者の評価を参考にするのもひとつの方法である。
たとえば調査会社が発行している市場調査レポートなどを参照してみるのも、製品選定の助けとなる。
例としてITコンサルティング会社ガートナーが発行している「Magic Quadrant」などがある。
選定のポイントはだいたい掴めました。情シスマンさんのおすすめも聞いてみたいんですけど?
では私のおすすめを紹介しよう!
EDRにおすすめのサービスとは?
「USEN GATE 02 ― セキュアエンドポイントサービス(Va) ―」はおすすめできるEDRサービスの一つだ。
EPPとEDR、そしてMSS(マネージメントサービス)を組み合わせたトータルエンドポイントセキュリティサービスとなっており、エンドポイントセキュリティ対策の強い味方となるだろう。
主な特徴は以下の通りだ。
- EPPによる未知のウイルスにも対応した高精度なスキャン
- EDRによるプロセス監視、アラートメール通知、対象の自動隔離など
- MSSでログを解析し、解説メールを通知、電話によるサポートも行ってくれる
- クラウドタイプのため専用サーバ不要、EPPとEDRは1つのアプリで動作
EPP、EDRとも機能が十分だ。EPPとEDRを連携して使えるんですね、管理もしやすそうです。ログの解析や解説も行ってくれるんですか!?これなら僕にも運用できそうです。ありがとうございます!
ハハハハッ、無事、解決したようだな!
強い情シスが企業を伸ばす!また会おう!さらばだ!
解決
既知の脅威は、そのほとんどをEPP等の予防ソリューションで防ぐことができる。しかし100%ではない。高度化している標的型サイバー攻撃や未知のマルウェアなど、会社のリソースに重大な損失を与える可能性のある脅威のすべてを事前に防御することは不可能だ。したがってそれらの侵入を前提として対処できるEDRの導入が不可欠なのである。
「USEN GATE 02 ― セキュアエンドポイントサービス(Va)―」は、EPPとEDRを組み合わせて水際の防御から万が一侵入された場合の事後対応までをトータルにサポートしてくれる。加えてMSSのサービスにより、必要十分なサポートを受けることができるだろう。
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
