侵入後の防御策であるEDRとは何か?

mikantaro

サイバー攻撃の手法は年々高度化しており、標的型攻撃や暗号化ファイルなど、入り口対策だけを行なっている従来のセキュリティ製品だけでは対応が難しいケースも増えてきました。
例えば、2022年にセキュリティ対策を実施していたにも関わらずネットワーク機器の脆弱性を悪用したランダムウェア攻撃が発生し、約49万件もの個人情報が漏洩しました。
このような事例からも、従来のセキュリティ製品を用いた対策だけでは、不十分であることがわかります。
上記の背景から、攻撃者やウイルスなどが社内環境に侵入した場合でも迅速に防御対策できるようEDR(Endpoint Detection and Response)が登場しました。今回はEDRの概要と従来のセキュリティ対策との違いについて説明します。


EDRとは

概要

EDRとはEndpoint Detection and Responseの頭文字をとった、エンドポイントセキュリティを担う仕組みの1つです。
エンドポイントとはPCやスマートフォン、サーバーなどのデバイスを指します。これらのデバイスの状況を監視し、不審な振る舞いの検知や対処を行うソリューションのことを指します。

背景

従来の対策として、ファイアーウォールやIPS(Intrution Prevention System)、URLフィリタリングなどの仕組みで入口対策を行い、デバイスにデータが到達するまでの経路(ネットワーク)を保護することでセキュリティを担保していました。(ゲートウェイセキュリティと呼ばれる)

しかし、近年はサイバー攻撃が巧妙化し、特定の組織を狙った標的型攻撃やファイルレス・マルウェアなども増えています。

こうした攻撃に対し、ゲートウェイセキュリティだけでは防ぐことが難しくなっています。また、テレワークの普及による働き方の変化に伴い、社外の業務が増加していることもサイバー攻撃のリスクを高めています。

こうした背景もあり、サイバー攻撃が発生した際のエンドポイントのセキュリティを強化するEDRに注目が集まっています。

従来のセキュリティ製品とEDRの違い

従来のセキュリティ製品との違い

EDRと似た言葉に「EPP」、「NGAV」、「MDR」があります。
EPPは、一般的にはアンチウイルスソフト(AV)やウイルス対策ソフトと呼ばれており、これらの製品はパターンマッチングによって、マルウェアがデバイスに侵入することを防ぎます。

NGAVはEPPの一種で次世代アンチウイルスソフトと呼ばれています。
従来のアンチウイルスソフトは、シグネチャーと呼ばれる定義ファイルを用いたパターンマッチング方式が基本でした。しかし、この方式だと既知のマ ルウェアは防げても、未知のマルウェアは防ぎ切ることはできません。
 ※NGAVはシグネチャーだけでなく、マルウェアの「挙動」を目印にして検知してブロックすることができます。

EDRはEPPの仕組みで防ぎきれなかったマルウェアを検知し、デバイスの隔離などの対処を行うための仕組みです。

また、MDRは外部の専門家のサポートを受け、EDRをはじめとしたセキュリティ製品によっていち早く脅威を検知し、インシデントに対応するサービスです。

EDRの機能

EDRの基本的な機能はデバイスログの監視です。対象となる端末にエージェントやセンサーと呼ばれるアプリケーションを導入します。
エージェントはクラウド上にある管理サーバーと通信を行い、デバイスの状況をリアルタイムに監視することができます。

ログを監視することにより、マルウェアとC&Cサーバーとの通信や攻撃の横展開、情報の持ち出しなどの行動を検知することができます。リアルタイム監視することでマルウェアの足跡消去にも対応でき、素早い横展開もブロックしやすくなります。

通常はEDRで異常を検知した後の分析や対処をSOC(Security Operation Center)と呼ばれる専門チームが担います。

EDR製品の比較選定ポイント

現在、市場にはさまざまなEDR製品がありますが、その全てが組織に求められる機能を備えているわけではありません。
そこでEDR製品の導入を検討する際に、大きく分けて以下の4つの観点から機能や性能の評価を行う必要があります。

検知能力は十分か?

未知のマルウェアやファイルレス攻撃(※1)など最新の脅威をきちんと検知できるのか、事前に確認する必要があります。
また、複数のエンドポイント間でアクティビティ(※2)を相互に関連付けすることで、高精度な脅威検知が可能なのかも重要な評価ポイントです。

調査作業を支援する機能は十分なのか?

もし脅威が検知された際には、その原因や感染経路、影響範囲を調査する必要があります。優れたEDR製品には、この作業を自動化・効率化できる機能が備わっています。
例えば、遠隔地にある感染端末のプロセスを強制的にシャットダウンできたり、疑わしいファイルの隔離やログの保存などを遠隔から行う機能がEDRにあれば、調査作業はかなり効率化されます。

サーバー上の分析処理の精度は?

EDRは各エンドポイントで取得したログデータをサーバー上に集め、分析処理を行うことで脅威を検知します。このサーバーの機能如何によって、脅威の検知精度やシステム全体の安定性が大きく左右されます。異なるエンドポイント間のアクティビティを相互に関連付けて分析する機能や、外部の脅威インテリジェンスの情報も組み合わせて分析するなど、より高度な分析処理を備えたEDR製品を選ぶべきです。

第三者機関によるEDR製品の評価は?

近年はどのベンダーもエンドポイントセキュリティ製品、EDR製品が一通り出揃い、開発元や販売元が提供するカタログスペックだけではなかなかEDR製品を比較・選定しづらくなっています。
そのような場合には国内外の調査会社や評価機関が実施しているベンダーや製品の売り上げやシェア、機能評価などの結果を参考にしてみると良いと思います。

まとめ

  • EDRとはEndpoint Detection and Responseの頭文字をとった、エンドポイントセキュリティを担う仕組みであり、デバイスの状況を監視し、不審な振る舞いの検知や対処を行うことができます。

  • 従来はファイアウォールやIPSなどで外部からの攻撃を防ぐことが中心でしたが、最近のサイバー攻撃はさらに巧妙になっています。そのため、攻撃後のエンドポイントのセキュリティを強化するEDR(Endpoint Detection and Response)の重要性が増しています。

  • EDRと似た言葉に「EPP」、「NGAV」、「MDR」があり、EDRはEPPの仕組みで防ぎきれなかったマルウェアを検知し、デバイスの隔離などの対処を行うための仕組みです。

  • EDR製品を選ぶ際は、以下の5つのポイントを考慮し、組織に適した製品を導入することは重要です。

    • 「検知能力は十分か?」

    • 「調査作業を支援する機能は十分なのか?」

    • 「サーバー上の分析処理の精度は?」

    • 「第三者機関によるEDR製品の評価は?」

用語集

  • ※1 ファイアレス攻撃

    • マルウェアがファイルを使わず、主にメモリ上で実行されることで検知を回避するサイバー攻撃

  • ※2 アクティビティ

    • エンドポイント(コンピュータやデバイス)上で行われる様々な動作や動きを指します。具体的には、次のような行動を含みます

      • ファイルの作成や変更

      • プログラムの実行

      • ネットワーク通信の発生

      • ユーザーのログインやログアウト

いいなと思ったら応援しよう!