「ウイルス対策ソフトは時代遅れ、標的型攻撃を防ぐには不十分」だと言われる昨今、
「自社のセキュリティ対策をテレワークなど社外からの利用にも対応できる、最新のセキュリティ対策にアップデートしたい。」
「できれば、PCの入れ替えやウイルス対策ソフトの更新タイミングなどで考えたい。」
といったお客様が増えています。
でも……こんな疑問・お悩みありませんか?
このページでは、皆様の疑問や悩みを解消するためのコンテンツをご用意しています。
「もっと詳しい内容が知りたい」「具体的なEDR導入の相談をしたい」といった場合は、お気軽にご相談ください。
EDRとは、Endpoint Detection and Responseの略称で、パソコン端末(エンドポイント)上のプログラム実行やファイル操作などの動作を記録し、不審な挙動を判断する仕組みです。
攻撃者がOSの管理用プログラムを悪用するなど、マルウェアを使用しない攻撃でも、検知可能です。さらにリモートでのプロセス強制終了やファイル削除などの機能も備えているため、攻撃検知後の迅速なインシデント対応が可能です。
1
新しいマルウェアが検知されない原因は、発生サイクルがあまりにも早く、AVの定義ファイル更新が追いつかないからだと言われています。 IPAの10大セキュリティ脅威でも第一位となっているランサムウェア感染。第二位の標的型攻撃も、2020年に猛威をふるったEMOTETなどのマルウェアも、AVの検知をすり抜け感染が広まっています。
マルウェアらしき通信や機密情報流出の兆候に気づいたときには、手遅れになっていることがよくあります。ひそかに侵入したマルウェアはパソコンに潜んで目立たないように活動しネットワークを通じて他のパソコンへと感染を広め、攻撃者の侵入と企業の重要な機密情報の窃取を助けます。感染したパソコンの特定や影響範囲を調査するには膨大な労力と費用がかかります。
EDRは、一言でいえば攻撃者の活動を監視(記録)する「監視カメラ」の役割を担います。AVはマルウェアファイル自体を検知し侵入をブロックする「防壁」となるのに対し、EDRは通常のシステム利用とは異なるマルウェアや、攻撃者の行動など未知の脅威を検知します。そのため、システム侵害の兆候を素早く捉え、侵入経路や感染端末、影響範囲を特定することもできます。もちろん既知のマルウェアによるサイバー攻撃もありますが、未知のマルウェアによるサイバー攻撃が増えており、AVと併用してEDRを導入することで、より効果の高いセキュリティ対策が可能となります。
・マルウェア検知はされていないが、原因不明の事象が報告されている
・過去にマルウェア感染で対処は終えたが、全部は調べきれていない
といった場合は、潜伏しているマルウェアが何か不審な動きをしている可能性もあります。
そこでラックがお勧めするのは、クラウドストライク社のCA(Compromise Assessment)です。
このサービスの特徴は、検査開始前の過去のセキュリティ侵害も短期間で調査ができる点です。もちろん、検査期間中はEDRによって保護されているため、新たな侵害も検知してくれます。
2
EDRは利用端末ごとに監視用のエージェントを入れ、クラウド上にデータを集約・解析・検知するため、インターネットにさえ繋がっていればどんな環境でも統一的なセキュリティ対策が可能です。
従来の社内サーバで端末を管理するウイルス対策ソフトの場合、社外に持ち出されたパソコンに問題が生じても即時の対応が行なえず、管理が難しいという問題がありました。EDRでは常にクラウド上の管理サーバに情報が集約され、管理者に即座に通知されるため、素早い対処が可能です。
3
EDR導入の最大のメリットは、インシデント対応の高速化です。
標的型攻撃では、アンチウイルスで検知されず、システムへの侵入に気付くのに100日以上かかると言われています。時間の経過とともに、被害範囲は大きくなるため、調査や復旧の労力、コストも増加します。EDRなら不審な挙動をリアルタイムに検知するため、侵害が拡大するリスクを最小限に抑えることができます。
従来のインシデント対応では、端末のHDDを専用機器やツールなどで保全し、保全したデータから必要なログを特殊なツールを使って抽出して解析する必要があり、期間も2週間前後かかります。さらにフォレンジック調査対象の端末も絞り込まなくては、調査期間や費用が膨大になってしまいます。
EDRであればフォレンジックと同等の調査がわずか2日間で実施でき、調査対象となる端末数も大幅に拡大することができます。
EDRの運用は、アラートが発生した際の対応が難しいという課題があります。アラートが誤検知なのか、それとも重大なインシデントの発生なのかを見定めるには、攻撃に対する知見と経験値、そして技術力が必要になります。しかし、そのような課題にもEDR運用の専門知識を持った事業者からEDR導入することで対応することができます。既にEDRを導入済みであっても、EDR運用サービスのみを依頼することもできます。
ソリューションメーカーの売り込み文句が似たり寄ったり。製品によって機能も大きく異なります。
本当のところ、何を基準に判断にすべきでしょうか? ラックでは、EDRの運用を考慮して、2つの重要なポイントがあると考えています。
事故に対する説明責任を果たすためには、原因や対象範囲等、詳細まで把握する必要があります。
「フォレンジックと同等の調査が可能な製品」であることが、重要な選定ポイントとなります。
EDR製品にはログの記録方式として常時記録タイプとイベント記録タイプがあります。
イベント記録タイプのみのEDR製品だと、マルウェアを検知した場合などしか記録が残らず、あとから調査しようとしても、不正通信のログがなく感染経路などを調査することができません。
「動作痕跡がすべて記録される、常時記録タイプの製品」であることが、重要な選定ポイントとなります。
ラックでは、主要な12社のEDR製品を実際に使用して検証を行った結果、
・CrowdStrike Falcon
・Microsoft Defender for Endpoint
・Trend Vision One - Endpoint Security
の3つの製品が、選定ポイントの条件を満たすという結果に至りました。
環境やご希望により、どれがよりお勧めになるかは異なってきます。
当社では、お客様ごとの環境やご希望に応じたEDR導入相談を受け付けておりますのでお気軽にご相談ください。
ラックでは、お客様ごとの環境やご希望に応じたご相談も受け付けております。
EDR導入の際には、同時に「EDR 監視・運用サービス」のご検討をお勧めします。EDR運用にあたっては、アラートの真偽判断や、インシデントと判断した際の原因調査が必要となり、それにはフォレンジック調査の知見など、EDR製品の設定や操作以外の専門知識が必要となります。セキュリティ監視やサイバー救急センターによる事故対応など豊富な実績のある、ラックの「EDR 監視・運用サービス」であれば、EDR導入後の運用も安心してお任せいただけます。
当社の「JSOC」は英語名Japan Security Operation Centerの頭文字を取り組織名とした、セキュリティ監視・運用サービスの拠点です。