EDR についてまとめてみる
EDRはセキュリティ向上のためのツール
サイバー攻撃の高度化により、組織や個人が知らないうちに攻撃の一端を担うリスクが増えています。攻撃者は生成AIなどの最新技術を活用し、その手法を日々進化させています。このような状況下で、ランサムウェアで重要なファイル・データベースが暗号化されてしまったり、個人情報が漏洩したりすればビジネスに重大なリスクが生じるのは間違いないでしょう。
組織はセキュリティ対策としてセキュリティパッチを常に最新にしておくことや、性能の良いアンチウイルス製品を導入することは引き続き重要であることに変わりはありません。攻撃者の高度化に対応する手段としてEDR(Endpoint Detection and Response)を活用することで、防御力を高めることが求められていると思います。
EDRはどのようにして攻撃に対応するのか
Endpoint Detection and Response を逐語訳すれば Endpoint はPCやサーバー、Detection は検知、Response は 応答・対応ということです。
教科書的にその特徴を記述すると次のようになると思います。EDR製品によって違いはあるので全てを網羅しているとは限りませんし、その他の特色を出しているものもあると思います。
リアルタイム監視
EDRはEndpointの活動をリアルタイムで24時間365日監視し、異常や潜在的な脅威を検出します。検知の対象はプロセスの起動、ネットワークトラフィック、ファイル・レジストリの変更などが含まれます。
高度な脅威検出
機械学習やAIを用いて、シグネチャベースのウイルス対策ソフトでは検出が困難な、未知のマルウェアやゼロデイ攻撃など高度な攻撃を特定します。
インシデント対応
脅威を検出した際に、自動的または手動で以下のような対応を行います。
セキュリティ担当者への通知
悪意のあるファイルの削除
感染したデバイスの隔離
フォレンジック分析
攻撃の詳細な調査や根本原因の分析を可能にします。将来の同様の攻撃を防ぐための洞察を提供します。EDRで可能なフォレンジック分析には限りがあり、ヒヤリ・ハットレベルのインシデントには有効だと思います。
フォレンジック分析には専用のツールも存在するようですし、やるとなるとノウハウが必要だと思います。事件となると警察への届出や外部の専門家の関与が必要になることは留意しておいた方が良いでしょう。
*「フォレンジック」は辞書的には科学捜査などを指すカタカナ英語です。
中央集中型管理
組織内の複数のEndpointを一元的に管理し、セキュリティポリシーの適用や脅威への対応を統合的に行えます。このために、EDRのためにサーバーか製品ベンダーが提供するクラウド上のサーバーを使用します。管理用PCからサーバーに接続して管理画面を開き、監視・検出・対応・分析を行います。
EDRを導入するとどのように防御力が強化されるのか?
リアルタイム監視により、自社のPC・サーバーで不審な振る舞いをするものを知ることができます。製品によって違いはありますが、ダッシュボードでそういったイベントを危険度でランクづけされたリストやグラフなどで警告してくれます。そしてイベントが発生したPCやサーバーを特定して、そのイベントの詳細を知ること、その対応を管理画面からの操作で行えるようになります。同様に感染したPCをネットワークから隔離することもできるようになります。
EDRを導入すると担当者の省力化につながるか?
条件付きで「はい」です。なぜかというとEDRはセキュリティレベルを向上させることにともなう労力を少なくしてくれますが、いわゆる省力化ツールではありません。
これまで知ることがなかった大量のイベントやインシデントがダッシュボードで通知・警告されるようになります。そのため、高リスクなイベントは優先順位をつけて対応していく必要があります。やるべきことはむしろ増えると思います。
これまで未知だったリスクを認識してそれによる「大事故」のリスクを下げることができるという意味では、事故発生時の対応を迅速にできるということと、インシデントのフォレンジック・報告などについては強力なツールになると思います。
今日はここまで。
EDR運用実務について良記事を見つけました。
EDRでリスクレベルの高いアラートが発生した時に確認・行動すること
蒼乃 玲(あおの れい)