検知だけでなく、リアルタイム保護まで実現!「これからのEDR」に必要な要件とは導入しただけでは真の効果を発揮できない

テレワークの普及をきっかけにエンドポイントセキュリティに関心を持った企業も多いだろう。ただ、EDRはウイルス対策ソフトウェアに比べて高額で運用が大変なイメージがある。無理なく導入し、うまく運用するにはどんな方法があるのか。

» 2024年03月07日 10時00分 公開
[PR/@IT]
PR

 コロナ禍をきっかけに普及したテレワークだが、利便性と引き換えに、脅威に侵入される確率は上がってしまった。自宅など、境界防御の“外”で利用されるPCが攻撃の標的になり、そこから社内システムに侵入されてランサムウェア(身代金要求型マルウェア)の被害に遭い、事業そのものに大きな影響が及ぶケースが発生している。

 これまではスタンドアロンで運用され「オフラインだから大丈夫と思われていたPC」が、実はリモートで接続できる状態になっていて攻撃されたケースがある。USBメモリなどを介してオフラインのPCに侵入されるケースも報じられている。

 有識者は「マルウェアの侵入経路は多様で、ゲートウェイやウイルス対策ソフトウェアだけでは守り切れず、『EDR』(Endpoint Detection and Response)が欠かせなくなっている」と、企業のEDR導入はもはや“当たり前のこと”であると指摘する。

 ただし、EDRの導入には前向きだとしても、二の足を踏む企業はある。「人材不足でセキュリティ担当を置けない」「脅威を検出しても判断できるリソースがない」「ウイルス対策ソフトウェアからEDRに切り替える予算がない」といった課題があるからだ。こうした課題に企業はどう向き合うべきか。セキュリティに詳しい有識者に話を聞いた。

それぞれに尽きない、セキュリティ運用の悩み

 ランサムウェアをはじめ、マルウェアの脅威は拡大するばかりだ。テレワークの普及によって働く環境が多様化した結果、攻撃される対象も拡大している現状において、企業が講じるべき対策とは何か――。

 セキュリティベンダー、フォーティネットジャパンの山田 麻紀子氏(マーケティング本部 プロダクトマーケティング シニアマネージャー)と、フォーティネットジャパンのパートナー企業、JBサービス(JBS)の小林 愛氏(サービスマーケティング バリュークリエイト部)の対談を通じ、そのヒントを探っていく。

――脅威の動向を踏まえると、ゲートウェイやウイルス対策ソフトウェアだけではシステムを守り切れなくなっています。山田さんは「EDRが必須の時代」とされている中で、導入の課題をどう捉えていますか。

ALT フォーティネットジャパン
マーケティング本部
プロダクトマーケティング
シニアマネージャー
山田 麻紀子氏

山田氏 解決すべき幾つかの課題の中でも、最も重大なのは「EDRを運用する人材の不足」です。リソースが限られた企業では専任でセキュリティ担当者を置くことができず、兼任になりがちです。すると、その担当者は他の業務と並行して「EDRをどう運用するか」「どこまでを自社でやるか」「外部のSOC(Security Operation Center)サービスや運用支援サービスはどう選べばよいのか」などの難問に挑まなければなりません。

小林氏 私も山田さんと同じ課題認識を持っています。人材不足に起因する運用の問題は規模の大小を問わず、ほとんどの企業が悩んでいると、日々、弊社のビジネス活動を通じて実感しています。お客さまからは「セキュリティへの関心は高いが、専任の担当者がいない」「対応や操作ができるメンバーが自分以外いない」といった声をよく聞きます。

山田氏 運用負荷を下げ、少ない人材でもセキュリティ運用を回せるよう、EDR製品には脅威の検知以外にも求められるものが増えてきています。例えば、アラート対応作業を減らすための防御機能だったり、専門的な知識がなくてもある程度運用できるような使いやすさだったり。コストメリットがあるかどうかも欠かせない要素だったりすると考えています。こうした要件を兼ね備えているのがフォーティネットの「FortiEDR」です。私たちはFortiEDRを“第二世代のEDR”と位置付けています。

ALT 少ない人材でも、専門的な知識がなくてもセキュリティ運用を回せる「FortiEDR」(提供:フォーティネットジャパン)《クリックで拡大》

脅威侵入前の保護と侵入後の検知、対処をカバーする「FortiEDR」

――“第二世代のEDR”は何が特徴なのでしょうか。

ALT JBサービス
サービスマーケティング
バリュークリエイト部
小林 愛氏

山田氏 FortiEDRは、既知の脅威を侵入させないように、リアルタイムで守る侵入対策機能を備えています。加えて、侵入を検知したらシステムを外部から遮断し、侵害の拡大防止と無効化を実施する防御機能もあります。つまり、侵入の前後、どちらにも対応できる点が特徴です。

小林氏 フォーティネットさんが独自に開発した技術は、セキュリティ業界で多くの特許を取得していると聞いています。

山田氏 おっしゃる通りです。例えば、カーネルモードで実行されるコードを追跡(トレース)し、不審な挙動を高精度でブロックして無害化する「コードトレース技術」や、ランサムウェアに感染した場合でも暗号化されたデータを復号する技術などがあります。その他にも、私たちの脅威研究機関「FortiGuard Labs」では脅威インテリジェンスを収集、分析しており、最新の脅威に対してもシグネチャやIoC(Indicator of Compromise:侵害指標)を提供できる体制を整えています。

小林氏 侵入の検知だけではなく、脅威の封じ込めや無効化にも注力しているということですね。

ALT FortiEDRの特徴(提供:フォーティネットジャパン)《クリックで拡大》

山田氏 他にもFortiEDRは運用を自動化したり、管理の手間を減らしたりする仕組みを備えています。あらかじめ「プレイブック」を定義しておけば、侵入後の対処も自動化できます。

小林氏 FortiEDRを利用している弊社のお客さまからは、「管理画面の見やすさ」について高い評価を頂いています。そのお客さまによると、他社のアンチウイルスソフトを使用していた時は管理画面を見なかった方が、FortiEDRでは「分かりやすいから」と管理画面を確認するようになった、というお話を伺っています。

――フォーティネットのNGFW製品「FortiGate」を既に利用している場合は、操作のハードルがさらに下がることもFortiEDRの強みかと思います。

山田氏 はい、管理画面の構成が似ているため、使いこなすのに時間はかからないと思います。問い合わせ先を弊社に集約できるので、運用負荷の削減にもつながります。さらに、FortiGateとの連携は“防御の強化”という意味でも利点があります。具体的には、FortiGateを通してFortiEDRがインストールされていないPCも保護できるということです。それ以外にも、FortiEDRであれFortiGateであれ、脅威情報をFortiGuard Labsが収集して反映するため、「使えば使うほどセキュリティレベルが上がる」といえます。

小林氏 FortiGateとの連携や、フォーティネット製品の運用の話という観点では、弊社はフォーティネット製品について豊富なノウハウを持っていることが強みだと考えています。FortiGateの運用サービスを20年以上にわたって提供してきましたし、FortiEDRはリリース直後から検証に携わっています。製品に熟知したセキュリティの専門家が、それぞれの製品から得た検知内容をそれぞれの製品に合わせて設定を行うことで、お客さまのセキュリティレベルを上げることに貢献できると考えています。

――EDR導入ではウイルス対策ソフトウェアと比べた際のコストがネックになりがちですが、その点についてはいかがでしょうか。

山田氏 FortiEDRならばコストも心配ないと自負しています。例えば、約4000台のPCにFortiEDRを導入した長崎県教育庁さまは「FortiEDRだからこそ、想定した予算内に収めることができた」と評価してくださっています。

 また、EPP(Endpoint Protection Platform)には別のソフトウェアを利用し、EDRにはFortiEDRを使うといった、ハイブリッド構成で運用している事例もあります。セキュリティ製品は互いの動きをブロックしたり、競合したりしがちですが、FortiEDRではそうしたことなく共存できます。サポート終了が近づいたレガシーOSにも対応しており、やむを得ず古いOSを動かしているPCやサーバも保護可能です。

 ただし、どんなに優れたEDRであっても、運用の懸念が全てなくなるわけではありません。侵入した脅威が即座にデータを暗号化したり、侵入から被害が発生するまでの時間が非常に短くなったりしています。のんびり対応しているとEDRが効果を発揮できない可能性もありますね。

FortiEDRの機能を生かし、安心して運用できる体制を提供するJBサービス

――今、山田さんが指摘された懸念を払拭(ふっしょく)するために、さまざまなパートナー企業と手を組んで「運用監視サービス」を提供していると思います。JBサービスもその1社ですね。こうした連携は、ユーザー企業にとってどのような「うれしいこと」があるのでしょうか。

小林氏 弊社は24時間365日体制でお客さまのセキュリティ運用を支援しています。セキュリティ製品に多い「問い合わせは専用フォームで英語のみ受け付け」ではなく、もちろん日本語で対応しています。弊社のサービスは脅威の侵入を防ぎ、もし侵入されても即座に検知してインシデントレスポンスまでの時間を極力短縮するのが目的ですが、他にもさまざまな支援が可能です。例えば、EDRが不審な動きを検知した場合、インシデント対応として関連するPCを停止する場合があります。そうしたPCの停止を解除するには、通常自社のシステム担当者さまが対応する必要がありますが、その作業も弊社が代行します。

 また、EDRでは誤検知が発生することもあります。担当者さまは万が一に備え、アラートのたびに「これは問題ない正常な動作を誤検知したのか、それともブロックすべき悪意あるものなのか」を判断し、問題ない正常な動作を誤検知したものであるなら検知しないよう設定しなければなりません。弊社では担当者さまと相談しながら、例外の管理に登録すべきかどうかを判断し、実際の作業は弊社が代行することで、お客さまも一緒にセキュリティを運用しながら、運用負荷を下げていただくことができます。

 こうした日々のセキュリティ運用支援に加え、月次で提出する定期レポートも評価されています。セキュリティが正しく機能していると、何も起こらない日々が続く――。本来は良いことですが、「ちゃんと動いていないのでは」と不安を持たれる場合もあります。月次レポートは「脅威をしっかりブロックしているから、何もなく過ごせています」と報告する資料として最適です。

 また、運用監視サービスの提供に当たって、CEH(認定エシカルハッカー)の資格を持ったエンジニアを増やし、運用体制を整えました。日々の運用にまつわる疑問に答えることはもちろん、より専門的な相談に乗ってほしいといった要望にも対応しています。

――FortiEDRとJBサービスの運用監視サービスを組み合わせた導入事例についてお聞かせいただけますか。

山田氏 ホテルチェーンを運営しているホテルモントレグループさまの事例があります。ホテルモントレグループさまは、少人数体制でFortiEDRを運用しています。JBサービスさんの運用監視サービスを併用することで、困りごとが発生した際でも安心して24時間365日運用できる体制を整えられたと聞いています。JBサービス側がどのような判断に基づいて疑わしいものを止めたのかを担当者さま自身が管理画面で確認できるので、安心感を持ちながら運用できているということです。

小林氏 普通ならベンダーに確認するような問い合わせでも、弊社で即答できるケースも多々あります。さらに弊社独自のサービスとして、FortiEDRを最小で1ライセンスから導入できる仕組みも用意しています。

山田氏 JBサービスさんを通じてFortiEDRをスモールスタートできることは、ベンダーとしてもとてもありがたいことです。(2025年10月の「Windows 10」サポート終了などを背景に)PCの入れ替えに伴って、少しずつ導入したいというニーズがあります。そういった点で1ライセンスからの導入によって、お客さまの検討、導入のハードルを下げられていると考えています。


 セキュリティ製品は導入したらそれで終わりではない。検知した脅威を分析し、無効化するといった運用を継続しなければならない。FortiEDRはそうしたプロセスを支援する機能を提供する。JBサービスも「顧客からの要望に臨機応変に応えながら、引き続き運用サービスを強化していく」としている。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:フォーティネットジャパン合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2024年3月29日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。