見出し画像
Photo by take_kuroki

CrowdStrikeでもっと普及してほしいEDRとエンドポイントセキュリティの理解

佐々木康介

CrowdStrikeがEDRというものでマルウェアからPCを守るらしいことは知られているが、まだまだEDRのことは理解されていない。
それどころか、セキュリティエンジニアの発信が非常に少ない。僕からすればEDRは情シスの担当範囲ではなくサイバーセキュリティ専門部署が扱うべき製品だ。しかし、そんなものは多くの日本企業にはない。それどころか、EDRすら一部の大企業のみ買える高級品だ。
これでは正しくサイバーセキュリティが理解される日が遠すぎる。
そう思って、浅く解説していこうと思う。内容は薄いです。

まず、本件の範囲はサイバーセキュリティの中でも「エンドポイントセキュリティ」と呼ばれる部分である。エンドポイントというのはPCやサーバのことである。他に全く観点やスキルセットが違うNWセキュリティやWebアプリケーションセキュリティなどがある。
ゼロトラストの一部でもあるし、オンプレ時代からエンドポイントセキュリティは存在するので、エンジニアなら専門外でもある程度知っている人が大多数の世界だ。

しかし、昔「ウイルス対策ソフト」とか言っていた時代とはちょっと違う。単純にマルウェアが侵害してこないように水際対策をするような製品はEPPと呼ばれる。EDRは侵入後のマルウェアを封じ込めることに強い。昨今のサイバー攻撃は「侵入することに特化」している。侵入時にスキャンを受けて無害と扱われたうえで、後から不正な機能を追加していく。細かい話は前に書いた記事を買ってもらうなりよそで調べてもらうなりするとして、大企業が標的型攻撃を弾くには侵入後の脅威の検知は必要絶対条件である。わざわざ大企業がと書いたのは、儲かっていない零細企業は狙われるリスクが低いからだ。ロシア系犯罪者は営利目的なので儲けることしか考えていない。アフィリエイターに誤爆される可能性がないわけではないが、EDRは高いので大企業以外は導入が難しい。

前述の特徴からEDRはランサムウェア攻撃キラーとも言われる。なぜなら、ランサムウェア攻撃は侵入してラテラルムーブして強い権限を入手して情報を盗み出してから攻撃に及ぶ。侵入から攻撃まで平均七日間かかる。この間にEDRで検知できれば組織は守られる。
EDRは検知・ブロック・調査(フォレンジック)・回復の機能を持つ。
不審なファイルを見つけたら、遡って調査できるし、組織内から不審なファイルを一斉削除することもできる。侵害されたファイルを回復することもできる。
ランサムウェア攻撃の場合、ファイルが次々と暗号化されるので遅くてもこの時点で振る舞い検知で必ず気づく。体制がなければ人間がアラートを無視して、回復が遅れる可能性はあるが、現代のマルウェアへの唯一の有効手段がEDRといえる。

唯一のといえる理由、それはマルウェアスキャンをすり抜けることに特化したマルウェアを検知するには振る舞い検知で継続的に監視するしかないからだ。侵入時点で不正なコードを持たない状態だと検知は難しい。過検知は利用者にとってストレスにもなる。難読化されたコードや、サイズの大きいファイルのスキャンも難しい。スキャンにかけられる時間も決まっているのでどこかで上限を決めて打ち切るしかない。不審な挙動をした瞬間に現行犯でブロックするのが確実なのだ。

さて、このEDRという製品は値段の高さ以外にも大きな欠点がある。
それはものすごく使うのが難しいということだ。そもそも欧米ではセキュリティ投資が桁違いであり、セキュリティ専任のエンジニアをたくさん抱えているのが普通だ。なので、難しい製品を使いこなすことが可能だ。
日本では情シスやインフラエンジニアが、本業の片手間にやっていることが多い。あるいは昔のウイルス対策ソフトと同じノリで、特別なスキルがなくても運用できるだろうと思われやすい。花形の開発チームと同じように投資できる会社などないだろう。
これだけセキュリティに投資をしない国なので、日本人にとって使いやすい製品を作ってくれる会社はほとんどない。こうした負のスパイラルによって、EDRのことはいつまでたっても正しく理解されないし、KADOKAWAの攻撃があったから弊社もEDRを、という発想にも至らない。

ちなみに、EDRを入れたらセキュリティが完璧かというとそうではない。システムが脆弱なら攻撃を受けてしまうし、設定ミスで情報をインターネットに公開してしまうような人を止める力もEDRにはない。
サイバーセキュリティは投資のバランスが非常に重要である。その中でもEDRの優先順位は高いが、そもそも容易に侵入されないことや、設計や運用を正しくセキュアにすることや、考える観点は多い。組織やシステムの性格によって必要なソリューションも変わる。

そういえばもう一つEDRに欠点があった。
それは、CrowdStrikeのような不具合はどの製品でも起こりうるということだ。品質に問題のないEDRは寡聞にして知らない。殺意が湧くほど挙動が悪いEDRもある。セキュリティメーカーは身売りや買収や統合と離散やらを繰り返しており、グロテスクな業界である。明確な勝者はどこにもいない。
合併によってサービス名が変わり、エンドポイントで動作するプロセス名が急に変わったりもする。プロセス監視の現場で非常に困るわけだが、運用管理者はしょっちゅう変わる管理コンソール画面のUIや、合併しても統合されてないシステムのため使いづらさと戦うことになる。マニュアルは古い名称の機能名で書いており、サポート窓口も身売りで人の入れ替えが激しく機能しない。
しかし、買収を繰り返して大きくなるのはアメリカ企業ではごく普通のことだ。使いづらさはマンパワーで殴るのが欧米流。
人手不足や品質の低さで消耗しているのは日本人くらいなのだろう。

しかし、それでもEDRは必要だ。CrowdStrikeのような件はあってもSLAが低いわけではないので平常時の働きを考えれば、使わないという選択肢は考えづらい。

最後に。需要があれば有償記事や技術書を書くかもしれない。そして、弊社も積極的に売ってるわけではないが複数のEDRの代理店なので、技術的な相談に乗ることはできるしセキュリティの不安を解消できるくらいの提案とかもできると思う。世の中に貢献したいので問い合わせください。


いいなと思ったら応援しよう!