ツールありきではなく、運用ありきで――DeNAがEDRを導入した理由と製品選定のポイント：特集：EDRの理想と現実（2）（2/2 ページ）

「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。

[高橋睦美，＠IT]

EDRへの誤解

　導入を向けた検証を通じて、あらためて「EDR」という製品を取り巻く誤解にも気付かされたそうだ。

　EDRという概念を提唱したガートナーによれば、EDRとは「Endpoint Threat Detection and Response」の略。つまり、「脅威」の検知と対応を行うツールであり、リモートフォレンジックツールでもなければ、マルウェアやインシデントといったはっきり定義された攻撃を見つけ、防御してくれるものでもない。

　「EDRは一般に、『アンチウイルスの代わりに何か悪いものをブロックしてくれるもの』と捉えられがちです。けれど本当は、マルウェアや悪性プログラムよりも粒度の細かいプロセスレベルで『こんなことが起きています』というスレット情報を集め、可視化し、脅威を“芽”のうちに摘み取るための製品です。つまり『侵入ありき』の製品です」（松本氏）

　従って、企業システムの内側と外側を明確に分けて、水際で脅威を防ぐ境界防御の考え方とEDRをどのように両立させ、説明するかは難しいところだという。「EDRを導入したからインシデントがなくなるわけではなく、むしろ、見えてくる脅威の数は増えるかもしれません。それこそEDR導入が成功した証しですが、この部分を周囲に、特に経営／マネジメント層に理解してもらうのは難しいかもしれません」（松本氏）

開発を妨げず、説明可能なエンドポイントセキュリティを実現

　こうしてEDRを導入したDeNAでは、少なくともDeNAの環境に関しては、マルウェアやインシデントがなく、思った以上にクリーンだということが分かったという。

　「何が起きているか、現状が素早く見えるようになった上、脅威を検知したり、リアルタイムレスポンスを用いて駆除したりと、かなりEDRにはお世話になっています。日々の運用を通じて、インシデント対応に関するナレッジも徐々に蓄積されつつあります」（松本氏）

　課題だった誤検知問題も解消されつつある。以前はアラートが上がるたびに詳細の確認に走り、場合によってはベンダーに問い合わせるといった手間がかかっていた。このため、本業である開発業務が妨げられることもあったが、EDR導入後は「このプロセスはどんなものなのか」「なぜこの端末にインストールされているのか」といった事柄を、資産管理情報と突き合わせながら把握できるようになった。このため、「格段に楽になりました。経営層にも、また端末を利用しているエンジニアにも、『よく分かりません』ではなく、根拠に基づいて説明できる環境が整いました」（松本氏）

　さらに追加の効果として、異常時はもちろん、正常時も常に一定期間のログを取得するため、何らかのインシデントが起きた場合に「なぜ起きたのか」「どのように対処したのか」の振り返りがしやすくなった。インシデント発生時は往々にして火を消すこと自体が重視され、何が何だか分からないまま一気に対処してしまいがちだ。それはそれで大事だが、「何が根本原因で、どう再発防止策を立てるか」を検討しようにも材料がそろわないことがある。こうした記録を直感的に残せるのも、「EDRの利点」と感じたという。

クラウド移行を前提にセキュリティポリシーの改善も

　DeNAでは現在、「クラウドジャーニー」を掲げ、3カ年計画でクラウド基盤へのシフトを進めている（参考）。その中で、根本となるセキュリティポリシーの考え方についても改善が必要な時期に来たと松本氏は感じているそうだ。

　変えるべき考え方の一つは、前述の「侵入前提」のアプローチだ。ファイアウォールやアンチウイルスを用いて水際で侵入を防ぐのも大事だが、「『それでも脅威は入ってくる』という前提に立ち、早く検知し、傷が浅いうちに対処し、より強固なものにするサイクルを回していく方向にシフトすべきだと考えています」（松本氏）

　その延長で、ここまで1年かけて整備してきたSOCをベースに、アラートレベルの低い段階でスレットを発見し、パッチ適用や通信遮断といった形で早期につぶしていく、EDR本来の目的でもある「スレットハンティング」に取り組みたいという。

　DeNAでは既に、Elasticsearchを用いたログ収集／分析環境を構築済みだが、「今後はOSINT（Open Source INTelligence）など外部の情報やツールを用いて、EDRなどで収集した内部の情報と外部の情報を照らし合わせて分析したいと考えています。これによって、オペレーターの初動対応を楽なものにしていきたい」（松本氏）

　同時に松本氏は、クラウド化が進む中、「境界」の再定義も必要だと感じているそうだ。「境界防御が不要というわけではありませんが、クラウドとオンプレミスが混在する中、境界の再定義をしないと守れない時期に来ています。その観点から認証やアクセス制御、外部サービスの可視化などを見直さないといけないでしょう」と、今後の施策を視野に入れている。

特集：EDRの理想と現実〜人材依存のオペレーションから脱却できるか？

「激化するサイバー攻撃にはEDR（Endpoint Detection and Response）だ」という結論を聞いたことはないでしょうか。マルウェアは巧妙化し、未知／既知の脆弱性を悪用して、既存のセキュリティ機構をすり抜けるような攻撃を仕掛けてくるため、「パターンファイルに依存したウイルス対策ソフト」では守れないということは声高に叫ばれるようになりました。しかし、その事実と「EDRなら守れる」という結論の間には、少々距離があるはずです。特に気を付けるべきは、EDRを導入したときのオペレーションです。脅威を検知したときに、それを判断できる人材がいない場合、EDRは本領を発揮できない場合があります。この特集では、EDRが指す挙動や役割をしっかり理解し、あなたの理解していた“EDR”との差分を可視化することで、「本当のEDR」を実現するために足りなかった機能や知識をアップデートします。

特集：EDRの理想と現実〜人材依存のオペレーションから脱却できるか？