EDR導入運用、悩んでいませんか?

ご相談・お問合せはお気軽に

資料請求・お問合せ

EDRの導入で、悩んでいませんか?

「ウイルス対策ソフトは時代遅れ、標的型攻撃を防ぐには不十分」だと言われる昨今、
「自社のセキュリティ対策をテレワークなど社外からの利用にも対応できる、最新のセキュリティ対策にアップデートしたい。」
「できれば、PCの入れ替えやウイルス対策ソフトの更新タイミングなどで考えたい。」
といったお客様が増えています。
でも……こんな疑問・お悩みありませんか?

なぜウイルス対策ソフトだけでは最新の攻撃から守れないのか、
実はよくわかっていない。

>> アンチウイルスソフトでは守れないは本当?EDRが必要な理由とは?

EDRを導入したら、テレワーク環境でもセキュリティは守れるの?

>> テレワーク環境でも守れるのか?

EDRの導入や運用ってどうしたらいい?

>> EDRの導入でなにが変わる?運用ってどうしたらいい?

このページでは、皆様の疑問や悩みを解消するためのコンテンツをご用意しています。
「もっと詳しい内容が知りたい」「具体的なEDR導入の相談をしたい」といった場合は、お気軽にご相談ください。

まずはお気軽にお問合せください

資料請求・お問合せ

EDRとは?そもそも何か

EDRとは、Endpoint Detection and Responseの略称で、パソコン端末(エンドポイント)上のプログラム実行やファイル操作などの動作を記録し、不審な挙動を判断する仕組みです。

攻撃者がOSの管理用プログラムを悪用するなど、マルウェアを使用しない攻撃でも、検知可能です。さらにリモートでのプロセス強制終了やファイル削除などの機能も備えているため、攻撃検知後の迅速なインシデント対応が可能です。

EDRの導入運用で何が変わるの?
3つのポイント

1

アンチウイルスソフトでは守れない?
EDRが必要な理由とは?

最新のマルウェアはアンチウイルスソフト(AV)をすり抜ける

新しいマルウェアが検知されない原因は、発生サイクルがあまりにも早く、AVの定義ファイル更新が追いつかないからだと言われています。 IPAの10大セキュリティ脅威でも第一位となっているランサムウェア感染。第二位の標的型攻撃も、2020年に猛威をふるったEMOTETなどのマルウェアも、AVの検知をすり抜け感染が広まっています。

マルウェアの侵入に気づかないとどうなる?

マルウェアらしき通信や機密情報流出の兆候に気づいたときには、手遅れになっていることがよくあります。ひそかに侵入したマルウェアはパソコンに潜んで目立たないように活動しネットワークを通じて他のパソコンへと感染を広め、攻撃者の侵入と企業の重要な機密情報の窃取を助けます。感染したパソコンの特定や影響範囲を調査するには膨大な労力と費用がかかります。

EDRは何ができる? AVはもう要らない?

EDRは監視カメラ、EPPは防壁となります

EDRは、一言でいえば攻撃者の活動を監視(記録)する「監視カメラ」の役割を担います。AVはマルウェアファイル自体を検知し侵入をブロックする「防壁」となるのに対し、EDRは通常のシステム利用とは異なるマルウェアや、攻撃者の行動など未知の脅威を検知します。そのため、システム侵害の兆候を素早く捉え、侵入経路や感染端末、影響範囲を特定することもできます。もちろん既知のマルウェアによるサイバー攻撃もありますが、未知のマルウェアによるサイバー攻撃が増えており、AVと併用してEDRを導入することで、より効果の高いセキュリティ対策が可能となります。

既にマルウェアが侵入している恐れがある時は「侵害調査サービス」

CrowdStrikeCAでは過去のセキュリティ侵害も調査可能です

・マルウェア検知はされていないが、原因不明の事象が報告されている
・過去にマルウェア感染で対処は終えたが、全部は調べきれていない

といった場合は、潜伏しているマルウェアが何か不審な動きをしている可能性もあります。

そこでラックがお勧めするのは、クラウドストライク社のCA(Compromise Assessment)です。
このサービスの特徴は、検査開始前の過去のセキュリティ侵害も短期間で調査ができる点です。もちろん、検査期間中はEDRによって保護されているため、新たな侵害も検知してくれます。

クラウドストライク社によるCAサービスの詳細情報

2

テレワーク環境においても
守れるのか?

脅威を検知するとアラートで管理者に通知

EDRならどんな環境にも対応

EDRは利用端末ごとに監視用のエージェントを入れ、クラウド上にデータを集約・解析・検知するため、インターネットにさえ繋がっていればどんな環境でも統一的なセキュリティ対策が可能です。

テレワーク端末でも素早く対処

従来の社内サーバで端末を管理するウイルス対策ソフトの場合、社外に持ち出されたパソコンに問題が生じても即時の対応が行なえず、管理が難しいという問題がありました。EDRでは常にクラウド上の管理サーバに情報が集約され、管理者に即座に通知されるため、素早い対処が可能です。

3

EDRの導入でなにが変わる?
運用ってどうしたらいい?

EDR導入後は、一定の調査結果を出すうえで「インシデント調査時の壁」はなくなります

EDRの導入で何が変わる?

EDR導入の最大のメリットは、インシデント対応の高速化です。

【システム侵害の発見が早い!】

標的型攻撃では、アンチウイルスで検知されず、システムへの侵入に気付くのに100日以上かかると言われています。時間の経過とともに、被害範囲は大きくなるため、調査や復旧の労力、コストも増加します。EDRなら不審な挙動をリアルタイムに検知するため、侵害が拡大するリスクを最小限に抑えることができます。

【発見後の調査もスピーディ!】

従来のインシデント対応では、端末のHDDを専用機器やツールなどで保全し、保全したデータから必要なログを特殊なツールを使って抽出して解析する必要があり、期間も2週間前後かかります。さらにフォレンジック調査対象の端末も絞り込まなくては、調査期間や費用が膨大になってしまいます。
EDRであればフォレンジックと同等の調査がわずか2日間で実施でき、調査対象となる端末数も大幅に拡大することができます。

EDRの運用は難しい?

EDRの運用は、アラートが発生した際の対応が難しいという課題があります。アラートが誤検知なのか、それとも重大なインシデントの発生なのかを見定めるには、攻撃に対する知見と経験値、そして技術力が必要になります。しかし、そのような課題にもEDR運用の専門知識を持った事業者からEDR導入することで対応することができます。既にEDRを導入済みであっても、EDR運用サービスのみを依頼することもできます。

まずはお気軽にお問合せください

資料請求・お問合せ

ラックが推奨するEDRは何?
その理由は?

EDR製品はどれを選んだらいいのか。
選定のポイントは?

ソリューションメーカーの売り込み文句が似たり寄ったり。製品によって機能も大きく異なります。
本当のところ、何を基準に判断にすべきでしょうか? ラックでは、EDRの運用を考慮して、2つの重要なポイントがあると考えています。

<選定ポイント1> 「有事の際の説明責任を果たせる」

事故に対する説明責任を果たすためには、原因や対象範囲等、詳細まで把握する必要があります。
「フォレンジックと同等の調査が可能な製品」であることが、重要な選定ポイントとなります。

<選定ポイント2> 「動作痕跡が全て記録される」

EDR製品にはログの記録方式として常時記録タイプとイベント記録タイプがあります。
イベント記録タイプのみのEDR製品だと、マルウェアを検知した場合などしか記録が残らず、あとから調査しようとしても、不正通信のログがなく感染経路などを調査することができません。
「動作痕跡がすべて記録される、常時記録タイプの製品」であることが、重要な選定ポイントとなります。

ラックの推奨するEDR製品とその理由

ラックでは、主要な12社のEDR製品を実際に使用して検証を行った結果、
・CrowdStrike
・Microsoft Defender for Endpoint
の2つの製品が、選定ポイントの条件を満たすという結果に至りました。

環境やご希望により、どちらがよりお勧めになるかは異なってきます。
当社では、お客様ごとの環境やご希望に応じたEDR導入相談を受け付けておりますのでお気軽にご相談ください。

自社に合うのはどちらの製品?

crowdstrike
こんなお客様にオススメ!
  • 1秒でも早くリアルタイムに攻撃を検知・防御したい
  • 独自に分析システムを構築したい(自社のSIEMへ転送して分析したい)
  • MacにもLinuxにもWindowsと同等機能のEDRを導入したい
  • 製品の仕様問い合わせ時などに手厚い無償サポートが欲しい
microsoft
こんなお客様にオススメ!
  • Microsoftの製品だけで、ゼロトラストを実現したい(Microsoft365 E5)
  • Windows Updateのたびに実施するエージェントの動作検証に疲れた。これ以上エージェントを増やしたくない
  • Windowsの脆弱性(未適用パッチ)の管理を厳格にしたい
  • ネットワーク帯域に懸念があり、常時接続しないポーリング方式のEDRにしたい

ラックでは、お客様ごとの環境やご希望に応じたご相談も受け付けております。

まずはお気軽にお問合せください

資料請求・お問合せ

EDR運用サービスについて

実際の運用には専門知識が必要です。
EDR運用(マネージドEDR)をご依頼いただけます。

EDR導入の際には、同時に「マネージドEDRサービス」のご検討をお勧めします。 EDR運用にあたっては、アラートの真偽判断や、インシデントと判断した際の原因調査が必要となり、それにはフォレンジック調査の知見など、EDR製品の設定や操作以外の専門知識が必要となります。 セキュリティ監視やサイバー救急センターによる事故対応など豊富な実績のある、ラックの「マネージドEDRサービス」であれば、EDR導入後の運用も安心してお任せいただけます。

マネージドEDRサービスについて

LACのサイバー救急センターが24時間365日監視・状況確認・隔離指示・調査・分析等を行います

※なお、本サービスには含まれておりませんが、インシデント発生後の対応支援依頼(サイバー119サービス)も承っております。
インシデント対応について、お困りごとがあれば、いつでもご相談ください。

当社のサイバー救急センターについて

サイバー救急センター

当社の「サイバー救急センター」はインシデント対応のプロ集団です。
2006年より約2,700件の出動実績があり、安心してお任せいただけます。

  • 企業や官公庁を対象にインシデント対応を支援
  • 24時間365日、事前の契約不要
  • 初動対応~フォレンジック調査~再発防止まで一貫して対応

まずはお気軽にお問合せください

資料請求・お問合せ

よくある質問と回答

Q. サービスの価格を教えてください
監視対象・導入対象の端末の数によって変わりますので、まずはお気軽にお問合せください。
端末台数100台~承っており、月額単位で提供しております。
Q. JSOCがアラート監視・端末隔離してるの?
本サービスは、緊急対応サービスを提供しているサイバー救急センターで対応しており、JSOCでの監視・隔離は行っておりません。フォレンジックを長年対応してきたサイバー救急センターがこれまで培ってきた知見を発揮することにより、EDRの高度な運用支援サービスか可能となります。
Q. 導入済ウイルス対策ソフトとEDRは併用可能ですか?
CrowdStrike、Microsoft Defender for Endpoint 共に併用可能です。
ただし、上記2製品以外のウイルス対策ソフトのログ(管理コンソール)は、マネージドサービスの監視対象外となるため、アラート発生時はラックの報告書を基にウイルス対策ソフトのログをお客様に確認いただき、最終判断していただくことになります。
Q. 対応時間を教えてください
監視・隔離は24時間365日で対応しており、調査対応は平日日中帯のみとなります。