EDRとは何か?~
はじめに
前回、ゼロトラストネットワークに関して記載をしましたが、これに関連して今回は現状のエンドポイントセキュリティ対応のトレンド変化に関して説明したいと思います。
サイバーセキュリティの現状
・マルウェアと呼ばれる偽装メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されており、サイバー攻撃の手口は、年々高度化してきつつあります。
・コロナ過でリモートワーク等が推奨され、これまで、社内ネットワーク内からのアクセスが、社外ネットワークからVPN等を経由してアクセスするなど、ネットワーク接続も多様化しており、FireWallなどの機能では脅威への対応が不十分になってきています。
エンドポイントセキュリティのトレンド
上記の現状があり、標的型攻撃が年々高度化するなかで従来の対策では防ぎきれないため、企業ではセキュリティ対策をEPP(脅威への防御)だけでなく、EDR(攻撃の検知と感染後の対応)へ広げてきています。
(もう少し言うと、攻撃の穴(脆弱性)への対応を主眼としてきた従来のセキュリティ対策を、攻撃されることは防げないという観点の元、「①攻撃をすぐに検知し、②ウィルスをもしくは攻撃された端末の封じ込め、③被害にあったファイルなどをすぐに修復、④侵入に使われた経路、感染影響などをすぐに調査」できるようにセキュリティ対策の幅を広げてきている。)
EDRツールが各ITベンダーからサービスが発表されており、そのツールの導入ならびに、攻撃検知のためにAIを活用する企業が増えています。
EPPとEDRの違い
EPP(Endpoint Protection Platform)
エンドポイント保護プラットフォームと呼ばれるもので、PCやモバイルなどのエンドポイント製品の感染防止を目的とした製品を指します。従来から個人、法人のPCなどにインストールする「アンチウイルスソフト」もEPPの一つとなります。
特徴
・パターンマッチング方式でマルウェアを判別し、最新のマルウェアに対応するため、常にアップデートされていくのが特徴。パターンマッチング方式で判断をしているため、攻撃パターンを把握できていない未知のマルウェアへの対処は困難な点が課題となっていました。
・そこで課題への対応のため、近年では機械学習などにより、その弱点をカバーできるNGAV(Next Generation Anti Virus)と呼ばれるセキュリティ対策ツールも生まれてきており、従来のアンチウイルスソフトでは発見が難しいゼロデイ攻撃※の検知と防御も期待されています。
※ゼロデイ攻撃:情報セキュリティにおいて、セキュリティホールが発見された日から、その脆弱性を解消するための対処方法が確立される日までの期間のことであり、その期間に、当該脆弱性を利用して行われるサイバー攻撃のことを、ゼロデイ攻撃(ゼロデイこうげき、英: zero-day attack)という。出典:Wikipedia
EDR(Endpoint Detection and Response)
ネットワークに接続しているPC、モバイルなどのエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアです。エンドポイントがサイバー攻撃を受けることを前提に、検知や除去などの初動対処を行い、被害を最小限に抑えることを目的としています。またサイバー攻撃の原因の調査および、その後のセキュリティ対策の改善にも役立ちます。
特徴
・EPPのパターンマッチでは侵入時に防御できなかったサイバーウイルスに対し、不正な挙動・振る舞いを検知し、感染後の対応を迅速に行える点が最大の特徴です。一方で、EDRの検知に対応できるようにネットワーク全体の各エンドポイントをリアルタイムに監視し、あがってくるログレポートを解析し対応する組織体制が必要となり、大企業ではともかく、中小企業などでその体制構築が課題となります。
今後どうするべきか
各種製品の特徴、セキュリティ対策のトレンドから、どちらの製品においてもメリット/デメリットがあり、トレンドからも片方だけの対応できるk状態でもないため、結論としては、EPPとEDRを併用して企業リスクを減らすという形になります。
そのリスクを減らすなかで、事業リスクをもとにどちらの優先度を高くするのかという判断が必要になります。
例えば、製造業などに関しては、リモートワークではなく、業務形態から工場での利用頻度が高くなるため、EPPの対応優先とし脅威を制御しつつ、すり抜ける脅威をEDRで対応するなどの対応方法になるかと思います。
こちらに関しては、正解がないため自社の事業形態、リスク、コストを鑑みて、EPP、EDRの配分をきめて対応していく形になります。
セキュリティリスクの洗い出しや、検討に関しては、NISTの「サイバーセキュリティフレームワーク(CSF)」や、IPAから出されている「サイバーセキュリティ経営ガイドライン 」等を参考にすると抜け漏れなく検討が出来るかと思います。
NISTの「サイバーセキュリティフレームワーク(CSF)」https://www.ipa.go.jp/security/publications/nist/index.htmlions/nist/index.htm
IPAの「サイバーセキュリティ経営ガイドライン 」https://www.ipa.go.jp/security/fy30/reports/ciso/index.html
関連記事
エンドポイントとセットで語られるゲートウェイにかんしては、【情シス初心者向け】クラウド型セキュリティゲートウェイの記事をご確認ください。