EDRって何?
序章
パソコンのウイルス対策も、新型コロナウイルス対策も、「ウイルス」。パソコンのウイルス対策だけ、なんか難しいよね、と思われている。ここでは、生活感と対比しながら、ちょっと簡単に書いてみる。
新型コロナウイルス対策を振り返ってみる
なんだよ、情報セキュリティの話じゃないの?と思われるかもしれない。パソコンの情報セキュリティって、結局よくわからない(いや、理解しようとしない)という責任逃れをする社員が多く、私としては大迷惑。そういう意味で、日常生活と置き換えてみることで、ちょっと分かったりする。
新型コロナウイルス対策として、感染予防のための「ワクチン接種」がある。予防なのでケースによっては感染する。また、マスクでの感染予防にもありますね。このマスクも、KF95の韓国製立体マスクの4層型があったり、J99の日本製立体マスクの5層型があったり、6層マスクあったり、、、どこまで重ねるんだーぃ!それ以外に、3密(密閉・密集・密接)を避けたり、アクリルボードの設置をしてたり、どうにか感染が発生しないよう、必死だ。
パソコンのウイルス対策
パソコンのウイルス対策(マルウエア、ランサムウエア等を含める)も同じで、なんと3密ならぬ3原則ってのがある。この3原則は、総務省のホムペを参考してもらえればいいのですが、(1)ソフトウエアの更新(2)IDとPasswordとかの認証情報の適切な管理(3)ウイルス対策ソフトの導入、だ。
ウイルス対策ソフト、ワクチンソフトとも言ったりしますが、シマンテックやトレンドマイクロ、カスペルスキー、サイランスといったワクチン(ウイルス対策ソフト)がある。サイランスは残念ながら個人向け製品の販売は終了してしまった。
最近では単純なワクチンソフトでは防ぎきれない(防いだとしても、巧妙すぎてすり抜けるウイルスが多い)ため、残念ながら感染した場合に、最寄りのPC群に、隙間(脆弱性)があるものはいないか〜と探し回る。そこに不正に入れる隙間があれば、そう、クラスター被害に遭う。
マスク的な存在
マスクって、相手にうつさないようにするもの。層が増えれば、感染予防にも繋がると思うけど。このマスク的な役割がEDR。Endpoint Detection and Responseの略で、エンドポイントの検出と対応、ここでいうエンドポイントとは、PCとかサーバーとか。つまり、EDRとは、コンピュータウイルスの感染は防ぐことはできないため、感染した機器を早期に見つけ、クラスターが起きないよう対応に努める製品のことをいう。
最近のEDRは、ウイルス対策ソフト(EPP:Endpoint Protection Platform)のオプション機能としてEDRを提供している製品も多い。
私の過去の記事にも、EDRについて触れているので、興味があれば…
(参)CylanceのEDR製品
EDR製品は色々なメーカーから販売されていますが、私はBlackBerry(ブラックベリー)社が販売しているCylance OPTICS(サイランス・オプティクス)しか利用したことが無いため、その製品について説明していこう。他の製品は一応調べて把握はしているので、それはそれで次回機会があれば…。
Cylanceには、ウイルス対策(EPP)のオプションとして、OPTICSというEDR製品がある。EPPで対応できなかったものを含め、EDRで対応してあげよう、という素晴らしい製品。対応は、警告だけでなく、一応、押さえつけるという「防御」も可能だ。
フォーカスデータ、セキュリティ脅威をAIで自動判断し、こーゆー感じに処理されてますよ、というデータ。このフォーカスデータタブをクリックした画面が、下。OPTICSでは、現在隔離ではなく、警告表示で監視している状況。さらに、丸記号をクリックすると、詳細が表示される。
ここで、デバイス名(PCのホスト名)が表示されるので、警戒しておくっていう感じ。
詳細画面では、誰が実行したのかが把握できる。今回、幸いにもマルウエアでは無いので、ほったらかしなわけですが、どういったプログラムで、どういう処理が行われたのか、イベントとして分かりやすく表示してくれる。
これと、IT資産管理ソフトのPC操作ログとを組み合わせることで、ある程度の処理がイメージ化できるに違いない。そして、このデバイスから外向け通信していないか、UTMのログとかで確認したりするとか…で、どういう経路で感染したかを探し出せるはずだ。(探せない場合もあるね…。探す時間もないけど)
脱線しましたが…
Cylanceの良いところは、AIセキュリティソフトの癖に、インターネット接続ができない「閉域網」環境でも利用できるのがウリだ。閉域網の機器を統合して管理する管理サーバが無償で提供されていて、その管理サーバだけ、インターネット接続が必要なわけだけど。そして、この管理サーバがクラウドのサーバに接続し、結果的にはクラウド上の管理サーバで管理する。そういったプロキシサーバ的に行う製品は多い。ただ、AIセキュリティソフトについては、残念ながら少ない、いや1社だけ?
サイバーリーズン(Cybereason)とか、クラウドストライク(CrowdStrike)とかありますが、原則「クラウド接続」。閉域網内で利用できる製品がなかった。そのため、勤務先のセキュリティにおいても、なかなか対応できなかった。そういう中、閉域環境で利用できるよ!とグーグル先生から教えてもらった(いや、検索した結果…)サイランス(BlackBerry)を見つけ出したのがきっかけだ。以前から興味はあったけど、なかなか手が出せない郡の製品なもんで…。
このCylance、BlackBerry社に買収されたので、BlackBerry Cylanceと名称変更されていたけど、今は、Cylance単体の名称になった。
スミマセン、難しい話が多くて。。。
まとめ
EPP、ウイルス対策ソフトでは、残念ながらウイルスに感染してしまう時代になった。それを、感染したことを気づかずに、ほったらかすと社内感染してしまう。
ここでは詳しく記載しませんでしたが、昨今、複数脅迫標的型ランサムウエアといった、ファイルを暗号化させ、人質にさせ、金銭要求。カネを払わなければ、盗んだデータが本物ということをチラ見させ、それでもカネを払わなければ、グローバルに公開させたり販売したりする脅迫が続く。そういった大規模社内災害が起きないようにも、大難を小難に小難を無難にしておくことが必要です。それが、EDRを利用することで、見えない・わからないネットワーク上からセキュリティの可視化が行えることもあるんです。
EDRだけじゃ、足りないと思うけど、ITセキュリティ投資は、快く投資してくれないのが現実。
ただ、残念ながら、EDRソフトも入っていません!となると、別の方法で対応しなければいけないので、今回の原稿に関しての対応としては、もうお手上げです。
EDRは情報量が多い。これを一般の情シスでなんとかセーぃ!と言われても、本来の業務ができなくなる。業務に直接関わりない監視は、サービス代行してもらった方が良いね、というMDR(Managed Detection and Response)という代行サービスがある。勤務先では、私の代わりになるヒトがいないため、MDRを検討中。これについては、別の機会にでも。