進化を続ける“EDR”、その製品を選定する際のポイントを解説

 2020.02.06  EDR実践ポータル

edr-selection-method

防御の要所はエンドポイントへ

情報セキュリティに関心をお持ちの方は、近年のトレンドとして、PCやサーバー、モバイル端末などのエンドポイント機器の単位でガードする“エンドポイントセキュリティ”、その手法として、“EPP(Endpoint Protection Platform)”や“EDR(Endpoint Detection and Response)”のキーワードにも、接しておられると思います。

エンドポイントセキュリティには、すでに多くの企業や団体が取組み、EPPとEDRも前線で稼動しています。その一方、毎日毎時、新手のサイバー攻撃が組織を襲います、守る側も攻撃者の動向と技術を追いかけていかなければなりません。エンドポイント保護の分野も例外ではなく、EPPもEDRも進化を続けています。

2つのソリューションは、2010年代の中頃には認知が進みましたが、特にここ1~2年、セキュリティ企業から新しい考え方と技術も提示されるようになってきました。一部では機能が重なる領域もあって、アウトラインの把握と性能の見極めも難しくなりつつあります。そこで今回はEDRに軸足を置いて、製品選択のポイントを抽出してみることにしましょう。

EPPとEDR、立ち位置と役割分担は?

まずエンドポイントセキュリティの分野におけるEPPとEDRの位置付けですが、両者の役割は違います。

簡単に経緯を辿ってみると、エンドポイント機器を守る手法として、従来からビットパターンを基にマルウェアを検出するアンチウイルスが使われてきましたが、未知のウイルスに弱いというパターンマッチングの限界がありました。そこで弱点を補間する技術として、プログラムの不審な動きを検出する振る舞い検知や、機械学習などの手法も採り入れた次世代アンチウイルスの導入が進みます。この流れがEPP(エンドポイント防御のプラットフォーム)です。

EPPは既知の攻撃には有効ですが、極めて巧妙化したマルウェアやWindows OSにもともと備わるPowerShellの機能を悪用するなどのファイルレスの攻撃に対しては、十分な効果を上げることはできません。 従来型アンチウイルス、次世代アンチウイルスをもすり抜けてしまう、100%の阻止は困難という現実に対して、侵入されることを前提に、被害を最小限にくい止めるために生まれたソリューションが、脅威の検知(Detection)と対処(Response)を担うEDRです。

次にEDRのコア機能を整理してみます。

EDRのコアは4フェーズ

EDRのジャンルは、米国の調査会社 ガートナーが2013年にコンセプトを提唱してから、一般に知られるようになりました。最近では、“高度なサイバー攻撃を検知する次世代型セキュリティソリューション”のような曖昧な意味で使われるケースも散見しますが、EDRとして不可欠な機能は以下の4つに集約できます。

 「検知」→「阻止」→「調査」→「対処と修復」

エンドポイントを常時監視し、EPPをすり抜けた攻撃を着実に「検知」。悪意の兆候があれば「阻止」、プログラムの強制終了やコマンド停止などの措置を施し、被害を最小限にくい止めます。次のフェーズは、エンドポイント上でのアクティビティを蓄積したログ(操作履歴などのデータ)や外部のデータベースなども活用して攻撃の全貌を調べる「調査」。そして業務の早期復旧に向けて、調査時の結果を加味し、もっとも効果的な「対処と修復」を行ないます。

各社から発表されているソリューションは、4つのフェーズを軸にそれぞれの得意分野を生かして機能を強化、個性を打ち出しています。次の項では、製品選択時において留意すべき点について、システムの全域に関連する機能と、個々のフェーズにおける強化ポイントを見ていきます。

CROWDSTRIKE FALCON INSIGHT ENDPOINT DETECTION AND RESPONSE (EDR)
CROWDSTRIKE FALCON:エンドポイント保護の新たなスタンダード

システム全域 ~共通項は「可視性」と「連携」~

EDRの機能は、よく監視カメラにたとえられます。不審者が工場や研究所の防壁を越えたとしても、敷地内をカメラが見張っていれば、異常を検知、可視化できます。ネットワークにも、PCやサーバー、ルータなどの機器を監視する機能は欠かせません。監視対象上で何が行われているか活動ログを収集。万一、リアルタイムで不審な動きを捉えきれなかったとしても、収集した情報を突き合わせることで、攻撃者の行動は把握できます。

物理世界でいうカメラ機能を生かすためのキーワードは“可視性”や“可視化”。エンドポイント全体の動きをモニターする機能です。防御をすり抜けたインシデントも、レジストリの変更やメモリアクセス、パスワード操作などのイベントを追跡し、一連の動きを時系列で可視化します。導入したEDRシステムに可視性の機能が不足、劣っていると、ひとつひとつのイベントの確認、対応に踊らされ、実際の攻撃の兆候を見落とすことになりかねません。また可視化に利用する情報自体の品質も気にする必要があります。

もう一つの共通項は“連携”、“連動”です。EDRの調査をはじめたみなさまの企業でも、今回が最初のセキュリティ製品ではなく、アンチウイルスや次世代アンチウイルス、ファイアウォール、SIEMなど、すでに複数のシステム・サービスが稼動していると思います。

既存システムとの情報の受け渡し、アプリケーションを跨いだ分析など、シームレスに連携する機能は欠かせません。

4つのフェーズ 1. ~インシデントの「検知」は複数の視点から~

「検知」は、製品により品質がかなり異なります。 ぜひ製品評価でその辺りは実感していただくことをお勧めします。

ここでは、別の見方で「検知」システムの性能を示すキーワードを取り上げます。 “リアルタイム”、“脅威インテリジェンス”、“エキスパートの支援”などが挙げられます。まずリアルタイム性ですが、ここは共通の要素でも採り上げた、監視カメラとしてのEDRが関係します。リアルタイムでログを収集、分析、エンドポイント全体をリアルタイムで可視化し、素早くインシデントの兆候を察知できれば、万一侵害されたとしても被害が拡散することはありません。

脅威インテリジェンスは、簡単に言うとワールドワイドで拡がっているサイバー攻撃に関する情報のことであり、いくつかのベンダーが最新の情報を、セキュリティ会社や一般企業などに配信しています。攻撃者グループが攻撃に使用する新種のマルウェアやファイルレス攻撃などのテクニック情報は、EDRの検知機能にも反映されます。

もう一つは、システムだけでは判断が難しい局面で、対処方法の選択も含め、エキスパートが支援する体制です。SOC(Security Operation Center)やMSS(Managed Security Service)の名で提供されることが多いのですが、ここで言う『支援』は、EDRが見つけたものが、100%脅威であるのかどうかをエキスパートが判断する、その後につながるアクションを決めるなどに当たります。EDRの円滑な運用には導入企業にも一定のスキルが必要なため、バックエンドには的確なサポートができる人の叡知も欠かせません。製品によって、検知したものを『高』、『中』や『低』などのレベルで表示するものもあり、必要なエキスパート支援を考える必要があります。

4つのフェーズ 2. ~不審な動きを「阻止」~

不審な動きの阻止は、既知と未知のマルウェア、ファイルレスマルウェアをブロックする機能がまず挙げられます。ファイルレスの攻撃は、良く知られたPowerShellだけではなく、OSの正規機能を利用してシステムの内部を探るような振る舞いに対しても、それを停止する判断力が求められます。

2~3年前に比べて鎮静化はしたものの、油断はできないランサムウェアに対しても、バックアップファイルの削除や暗号化につながる操作は阻止。またアプリケーションの脆弱性を付く攻撃、例えば、ブラウザのプラグインからコマンドプロンプトを生成するような動きも見逃してはなりません。

攻撃の痕跡 VS 侵害の痕跡

「検知」そして「阻止」に至るまでの一連の動作において、最近のソリューションは“侵害の痕跡(IoC)”ではなく“攻撃の痕跡(IoA)”をトリガーにするようになっています。それ自体では不審と見なせないような動きに対しても、行動を“線”で捉えることで、危険度がしきい値を超えた時点で、侵害が発生する前にアラートを出すことができます。

4つのフェーズ 3. ~「調査」はリソースの質が左右

調査のフェーズでは、まずプロセスツリーで全体を可視化し、すべての振る舞いを時系列で表示する機能が重視されます。

個々の要素としては、隔離したマルウェアやファイルレス攻撃に関する詳細なデータはもちろん、アカウント単位の通信先、DNS(Domain Name System)が返してきたIPアドレス、操作したファイル名などを含む細かなログデータは必須です。

例えば、攻撃の調査に際しては、コントロールパネルから新規作成されたユーザー、管理者権限でログインしたアカウント、ログインに失敗したアカウントなどを基礎データとして、イベントログの削除、レジストリキーの変更などの操作を、アカウントごとに追跡しますが、それもGUIでグラフィカルに可視化されれば、状況の把握と調査は短時間で行うことができます。

記録するログの質にも留意しなければなりません。侵害の横展開など把握するには、全端末のログが一箇所に集中管理されている必要があります。平常時と思われた中に侵害が潜んでいたのを調査するので、製品が選択したログではなく、全ての活動のログが保存されている必要があります。

そして過去に遡り攻撃全体を把握する場合、それなりの期間のログを保存する必要があります。攻撃の発覚が侵入時から数カ月後というケースも珍しくないため、最低でも数カ月。できれば、それ以降はアーカイブなどにバックアップを残す方がいいでしょう。

4つのフェーズ 4. ~「対処と修復」は迅速に~

4番目のステップは、インシデントへの迅速かつ正確な対応と修復です。このフェーズの優劣は、通常業務への復帰にかかる時間を左右します。EDRに備わる機能は、まずエンドポイントの隔離。侵害のリスクが生じたエンドポイント機器を、調査に必要なログを保持しつつ、必要なアクセスを維持しつつネットワークから切り離します。

修復操作では、危険なファイルの削除・移動、プロセスの現状表示と強制終了、レジストリの更新、再起動などを行ないますが、こうした操作をリモートで実施できる製品もあります。最近の傾向として、レジストリの変更やファイル更新などの操作を自動的に元に戻す“自動修復”をアピールする製品もありますが、“自動化”と“修復”の定義はマチマチですから、過不足は精査が必要です。

企業防衛のスタンダード化が進む

EDRはセキュリティ分野における成長市場の一つです。調査会社のITRでは、マネージドEDRサービス市場の2018年度は前年度比155.3%増と急成長したと報告しており、EDR製品の成長とともにサービス市場も拡大しています。EDRに限りませんが、ある技術やシステムが企業防衛のスタンダードになれば、その装備がない企業が被害を受ける、何らかのターゲットになるのは必須です。

冒頭でも触れましたが、EPPとEDRの境界は曖昧になりつつあり、EPP製品の一部は、ファイルの不正変更に対して自動修復を行なうなど、EDRの領域にも入りつつあります。一方のEDRも、EPPの機能の一部を実装する動きも出てきています。

年々、拡張を続けるEDR製品の見極めは難しいのですが、まずみなさまの企業における情報システムの状況を整理することをお勧めします。安全対策において不足している部分を明確にし、EDRに備わる機能でどの要素を重視するかを軸に、調査と選択を進めてください。

ENDPOINT DETECTION AND RESPONSE

RECENT POST「EDR」の最新記事


進化を続ける“EDR”、その製品を選定する際のポイントを解説
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング