あらためて「EDR」とは? エンドポイントセキュリティ、2019年はどうなる?:特集:EDRの理想と現実(1)(1/2 ページ)
本特集では、EDRが指す挙動や役割をしっかり理解し、あなたの理解していた“EDR”との差分を可視化することで、「本当のEDR」を実現するために足りなかった機能や知識をアップデートします。初回は、「Gartner Symposium/ITxpo」からエンドポイントセキュリティにフォーカスを当てた2つのセッションの内容をレポートします。
ガートナーは、CIO(最高情報責任者)をはじめとするITリーダーが一堂に会するITイベント「Gartner Symposium/ITxpo」を、2018年11月12〜14日に開催した。本稿では、同シンポジウムで行われたセッションの中から、エンドポイントセキュリティにフォーカスを当てた2つのセッションの内容をレポートする。
あらためて「EDR」とは? EDR製品の4つの機能と運用の勘所
Carbon Blackの「Cb Defence」や、パロアルトネットワークスの「Traps」などエンドポイントセキュリティの運用を支援するMSS(マネージドセキュリティサービス)を展開している新日鉄住金ソリューションズ。同社 ITインフラソリューション事業本部の新堀徹氏は、サイバー攻撃による侵入を100%防ぐことがもはや不可能となる中、侵入後の脅威の検知、対応を行うEDR(Endpoint Detection and Response:エンドポイントの検知/対応)の機能、運用のポイントについて解説した。
防御型のEPPではサイバー攻撃の侵害を防ぐのが難しい
新堀氏は、防御型のEPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)ではサイバー攻撃の侵害を防ぐのが難しくなってきている背景として、「今までのEPPによるウイルス対策は、ファイアウォールやIPS、サンドボックスを設置して、インターネットの水際でマルウェアの侵入を防御するものだった。万が一、侵入された際にはパターンファイルによってマルウェアを駆除していた。しかし、近年のマルウェアは、パターンファイルに合わないものが増えているため、EPPによる防御が効かなくなってきている」と説明する。
さらに、最近のマルウェア攻撃は、侵入された上に、感染したこと自体が分からないことも被害を拡大させているという。
「こうした状況を受け、侵入されることを前提にしたセキュリティ対策として、不正な挙動の検知およびマルウェアに感染した後の対応を迅速に行うEDRの導入が進んでいる。サイバー攻撃側は、防御が弱い企業を狙ってくるため、EDRの導入が進めば進むほど、EDR未導入の企業は狙われやすくなる。それだけに、企業はEDR製品の導入検討を早めに行うべきではないだろうか」
EDR製品の4つの機能
EDR製品については、「検知」「封じ込め」「調査」「復旧」の4つの機能を備えていることを条件に挙げる。
「まず、セキュリティインシデントを検知し、検知したインシデントをエンドポイントで封じ込める。そして、封じ込めた後に、侵入ルートや影響範囲などを調査し、エンドポイントを復旧させる。このセキュリティ対策サイクルを回せるのがEDR製品である」
では、EDR製品を導入していない状態で、未知のマルウェアに侵入された場合にはどうなってしまうのか。
「検知」フェーズでは、侵入された後の検知が難しいため、マルウェア感染の発見の遅れにつながる。「封じ込め」フェーズでは、発見後に人海戦術による全端末のセキュリティチェックが必要となり、業務停止時間の長期化を招く。「調査」フェーズでは、マルウェアの調査に必要なログなどの情報がないため、侵入経路や漏えいされた情報の把握が困難となり、正確な被害報告を出すことができない。そして、「復旧」のフェーズでは、感染の可能性がある全端末を再イントールする必要があるなど、復旧までに多大な時間と手間がかかることが想定されるという。
これに対してEDR製品では、振る舞い検知や機械学習などの機能によってマルウェア感染を素早く検知。感染端末やマルウェアの隔離機能によって、セキュリティインシデントをエンドポイントに封じ込める。また、収集したログからマルウェアの侵入ルートや被害の影響範囲を調査できる。復旧に当たっても、隔離したマルウェアを駆除することで迅速な復旧が可能となる。
「EDR製品を導入することで、検知後の影響範囲の特定から復旧までを迅速に行えるようになり、業務への影響を最小化できる。さらに、侵入経路や漏えいした情報などを正確に把握できるため、的確なセキュリティ対策を実現できるようになる」
EDRは製品を導入するだけでは効果がない、人による運用が重要
ただし、EDRは「製品を導入すればよい」というものではなく、インシデントが発生した場合に人による対応や判断が必要になることも忘れてはならない点も、新堀氏は付け加える。「特に、調査と復旧のフェーズでは人が介在して対応する必要があり、セキュリティのスキルを持った運用メンバーや運用体制の整備が不可欠になる」と指摘した。
しかし、多くの企業にとって、セキュリティスキルを持った専任メンバーを確保するのは難しく、「働き方改革で、これ以上メンバーに仕事を増やせない」「IoTやデジタルビジネスに人材をシフトさせたい」「24時間365日の運用体制をどう整備するのか」などの課題を抱えているのが実情だ。
新堀氏は最後に、「今後、セキュリティ人材の重要性はさらに高まる。企業は、セキュリティ人材の確保が求められるが、現実はそう簡単なことではない。そこで、社内でセキュリティ人材を確保できない場合は、ここをアウトソーシングすることも一つの選択肢として検討してほしい」と提言した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ウイルス対策ソフトだけではマルウェアを防げない理由
ウイルス対策ソフトとはどのように脅威を検知しているのか? ウイルス対策ソフトだけではマルウェアに対処しきれない理由とは何か? - 国内EDR市場、2020年度までに年間約37%増で急成長――ITR調べ
ITRがエンドポイント検知/対応製品(EDR)に関する市場予測レポートを発表。2015年度のEDR市場は前年度比64%の急成長を遂げ、今後2020年まで年平均37%の成長が見込まれるという。 - 刻々と変化する攻撃に耐える――最新のサイバー攻撃に対応できるエンドポイント対策
セキュリティ対策を実行する際、侵入されることを前提に考えなければならない。内部対策だ。内部対策は複数に分かれており、最後の要が個々のPCなどに施す「エンドポイント対策」である。エンドポイント対策で満たさなければならない4つの条件について、紹介する。