アンチウイルス、ファイアウォール、IPS/IDP(Intrusion Prevention System/Intrusion Detection System)、従来型の基本的な情報セキュリティシステムは、その効力が薄れつつあります。サイバー攻撃の技術は日々高度化・複雑化しており、より巧妙になることで既存の古いアーキテクチャーの情報セキュリティシステムでは、高度なサイバー攻撃を防ぐことが難しくなっているのです。
最近では、標的型攻撃やランサムウェアといった悪質なサイバー攻撃に必要とされるのは次世代の情報セキュリティシステムであり、企業や組織は時代に即した環境を整えることが欠かせません。
そこで、本稿では「EDR(Endpoint Detection and Response:エンドポイントでの検知と対応)」についてご紹介します。
EDR(Endpoint Detection and Response)とは?
EDRは、企業が日常的にサイバー攻撃を受けていることを前提として、エンドポイントでの攻撃検知とその後の防護や対処をシステム化するための情報セキュリティシステムです。
主に、エンドポイントへ専用エージェントを搭載し、システムやアプリケーションのアクティビティ情報を収集することで、不審な挙動を検出し、サイバー攻撃を特定し、エンドポイントを保護します。
ちなみにエンドポイントとは、内部ネットワークに接続された端末を指します。企業に設置されているクライアント端末、可搬端末、サーバー、クラウドピューティング上で管理されている仮想マシンが挙げられます。
従来のアンチウィルスソフトとEDRの違い
アンチウイルスやファイアウォールなど従来型の情報セキュリティシステムは、マルウェアやハッカーの攻撃を防ぎ、侵入を許さないことを目的として稼働していました。しかし、現在の情報セキュリティ事情を考慮すると、検知及び防御できないサイバー攻撃が無数に存在し、エンドポイントや業務システム、機密情報等は常に危険にさらされることになります。
そこで近年の情報セキュリティ対策の概念は、水際で防ぐこと以外にも「エンドポイントが攻撃を受け、内部ネットワークへ侵入されることを前提として、その脅威をいち早く検知し、防御する」ことへと変化しています。これが、従来型のシステムと大きく異なるポイントです。
たとえば従来型のアンチウイルスでは、そのソフトウェアを提供する情報セキュリティベンダーが定期的に更新するシグネチャファイル(マルウェアの特徴や攻撃パターンをまとめた情報)を参照し、エンドポイントに危険を及ぼすマルウェアを検知し、隔離します。
攻撃者は強い意志のもと、多大なる時間とリソースを費やし、組織の防御を破る方法を編み出してきます。そのようなとき、残念ながら多くのアンチウィルス製品は、侵入を警告することはおろか、検出すらできずにエラーも表示しない「Silent failure」の状態に陥ります。
一方、EDRはサイバー攻撃を受けることを前提に対策を実施するため、エンドポイント上で不審な振る舞いをしているアクティビティを検知することで、インシデントへの対処速度を劇的に高めて、攻撃を受けても実害を発生させる前に水際で阻止することを実現します。
EDRはなぜ必要とされているのか?
NPO法人JNSA(Japan Network Security Association:日本ネットワークセキュリティ協会)によれば、2018年1月1日~12月31日に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント件数は443件。漏えい対象になった個人情報は561万3,797人となっています。
出典:INTERNET Watch『個人情報漏えいインシデント、2018年は560万人以上が被害に JNSA調査速報版』
多くの企業が機密情報や顧客情報、社員情報を保護するための情報セキュリティシステムを構築していますが、対策も虚しく情報漏えい事件は実際に発生しています。さらに、標的型攻撃やランサムウェアといった悪質なサイバー攻撃は、依然として危険度の高い脅威だと考えられており、今後も厳重な警戒が欠かせません。
参考:独立行政法人IPA(Information-technology Promotion Agency:情報処理推進機構)『情報セキュリティ10大脅威 2019』
標的型攻撃やランサムウェアは非常に巧妙なサイバー攻撃であり、堅牢な情報セキュリティシステムを構築している企業の数々が、軒並み被害に遭っています。情報セキュリティ担当者に気づかれずに内部ネットワークへ侵入するマルウェアやハッカーを検知及び防御するためには、エンドポイントにて複数のアクティビティを収集し、不審な振る舞いを検出するためのEDRが欠かせないのです。
加えて、EDRが必要とされている理由はもう1つあります。
それが「マルウェアやハッカーからの攻撃を受けているエンドポイントの、早急な隔離」です。EDRの中にはマルウェアやハッカーからの攻撃を受けたエンドポイントを素早く特定し、遠隔操作によってネットワークから隔離する機能が備わっています。
脅威インシデントが発生した場合でもエンドポイントを早急に隔離することで、感染の拡大等を防ぎます。さらに、EDRは他のエンドポイントの感染状況等も素早く把握することで、攻撃を受けている他のエンドポイントも隔離し、システムの心臓部や機密情報へのアクセスを効果的に防ぎます。
業界最高レベルのEDR製品
CrowdStrikeが提供するEDRは、クラウドネイティブなエンドポイント保護を提供することで、非常に軽量な動作性を実現しつつ、人工知能を備えたグラフデータベースによって即時的な可視性を提供し、脅威ライフサイクル全体を通じた保護を実現します。
エンドポイント全体の包括的な可視性を必要とし、本格的な被害に至る前に悪質な活動を検知し対応することを求める企業は、CrowdStrikeのEDRソリューション「Falcon Insight」と画期的なハンティングサービス「Falcon OverWatch」を組み合わせることにより、即効性があり、強力かつ包括的なソリューションを手に入れることができます。
