EDRとは?CrowdStrikeでのWindowsの障害を見て。。
今回世界的に発生したWindowsのブルースクリーン。
その原因としてはウィルス対策ソフトウェアである、CrowdStrike社の「Falcon」が原因でした。
このソフト、よく聞く「アンチウィルスソフト(AV)」でな、「エンドポイントソフト(EDR)」と呼ばれるものです。
私自身EDRの知識がなかったので、今回調べてみました。
そもそもEDRとは?
EDR(Endpoint Detection and Response)は、エンドポイント(コンピュータやモバイルデバイスなどの個別の端末)における脅威の検出、対応、予防を目的としたセキュリティツールです。以下にEDRとウィルス検知ソフト(アンチウィルスソフト、AV)の比較を含めて要約を作ってみました。
EDR(Endpoint Detection and Response)
機能:
リアルタイム監視と検知: エンドポイントの活動をリアルタイムで監視し、異常な振る舞いや脅威を検出します。
応答と修復: 脅威が検出された際に、即座に対応策を講じることが可能です。これには、感染したファイルの隔離やネットワークからの切断が含まれます。
行動解析: 端末上のユーザー行動やプロセスの活動を解析し、通常と異なる振る舞いを検知します。
データ収集と分析: 長期間にわたりデータを収集・保存し、後から解析やフォレンジック調査(※1)ができるようにします。
メリット:
高度な脅威に対する検知能力(ゼロデイ攻撃や未知のマルウェアなど)。
侵入後の対処能力が高く、被害の拡大を防ぐための迅速な対応が可能。
エンドポイントの広範な監視と詳細な分析が可能。
デメリット:
導入と運用が複雑で、専門知識が必要。
コストが高い場合が多い。
ウィルス検知ソフト(アンチウィルスソフト、AV)
機能:
マルウェア検知: 既知のウィルスやマルウェアをシグネチャベースで検出します。
リアルタイム保護: ファイルアクセス時やダウンロード時にマルウェアのスキャンを実施します。
定期スキャン: システム全体を定期的にスキャンし、マルウェアの有無をチェックします。
メリット:
導入と操作が比較的簡単で、ユーザーフレンドリー。
コストが比較的低い。
既知の脅威に対して高い検出率を誇る。
デメリット:
シグネチャベース(※2)のため、未知の脅威やゼロデイ攻撃には弱い。
検出後の対処能力がEDRに比べて劣る。
詳細な行動分析やフォレンジック機能は一般的に備わっていない。
結局は?
EDRとウィルス検知ソフトは、それぞれ異なるニーズに応じたセキュリティ対策を提供します。前段としてウィルス検知ソフトは既知のマルウェアに対して基本的な保護を提供し、侵入された場合にEDRは高度な脅威の検出と対応に優れています。セキュリティの層を厚くするためには、EDRとウィルス検知ソフトを併用することが効果的です。
(※1)フォレンジック調査とは?
フォレンジック調査(デジタルフォレンジック調査)とは、コンピュータシステム、ネットワーク、モバイルデバイスなどのデジタルデバイスから、犯罪やセキュリティ侵害に関連する証拠を収集、分析、保存、提示するプロセスです。以下に詳細を説明します。
フォレンジック調査の目的
証拠の収集: 犯罪行為やセキュリティ侵害に関連するデジタルデータを収集する。
証拠の保存: 証拠の整合性を保つために、適切な手順でデータを保存する。
データの分析: 収集したデータを分析し、事件の解明や原因の特定を行う。
証拠の提示: 法廷などで使用できる形式で証拠を提示する。
(※2)シグネチャベースとは?
アンチウィルスソフトやマルウェア検出ツールが使用する検出方法の一つで、既知のウィルスやマルウェアの特定のパターンや特徴(シグネチャ)を基にして、悪意のあるソフトウェアを検出する手法です。