アンチウイルス、ファイアウォール、IPS/IDP(Intrusion Prevention System/Intrusion Detection System)、従来型の基本的な情報セキュリティシステムは、その効力が薄れつつあります。サイバー攻撃の技術は日々高度化・複雑化しており、より巧妙になることで既存の古いアーキテクチャーの情報セキュリティシステムでは、高度なサイバー攻撃を防ぐことが難しくなっているのです。
最近では、標的型攻撃やランサムウェアといった悪質なサイバー攻撃に必要とされるのは次世代の情報セキュリティシステムであり、企業や組織は時代に即した環境を整えることが欠かせません。
そこで、本稿では「EDR(Endpoint Detection and Response:エンドポイントでの検知と対応)」についてご紹介します。
EDR(Endpoint Detection and Response)とは?
EDRは、企業が日常的にサイバー攻撃を受けていることを前提として、エンドポイントでの攻撃検知とその後の防護や対処をシステム化するための情報セキュリティシステムです。最近では、テレワークの導入が加速する中で従来のセキュリティ防御では不完全なものを補う形でEDRは注目を集めています。
関連ブログ:テレワークに必須のセキュリティ要件は? ~カギはクラウドネイティブのEDR、EPP~
主に、エンドポイントへ専用エージェントを搭載し、システムやアプリケーションのアクティビティ情報を収集することで、不審な挙動を検出し、サイバー攻撃を特定し、エンドポイントを保護します。
ちなみにエンドポイントとは、内部ネットワークに接続された端末を指します。企業に設置されているクライアント端末、可搬端末、サーバー、クラウドピューティング上で管理されている仮想マシンが挙げられます。
EDRと従来のアンチウィルスソフトの違い
アンチウイルスやファイアウォールなど従来型の情報セキュリティシステムは、マルウェアやハッカーの攻撃を防ぎ、侵入を許さないことを目的として稼働していました。しかし、現在の情報セキュリティ事情を考慮すると、検知及び防御できないサイバー攻撃が無数に存在し、エンドポイントや業務システム、機密情報等は常に危険にさらされることになります。
そこで近年の情報セキュリティ対策の概念は、水際で防ぐこと以外にも「エンドポイントが攻撃を受け、内部ネットワークへ侵入されることを前提として、その脅威をいち早く検知し、防御する」ことへと変化しています。これが、従来型のシステムと大きく異なるポイントです。
たとえば従来型のアンチウイルスでは、そのソフトウェアを提供する情報セキュリティベンダーが定期的に更新するシグネチャファイル(マルウェアの特徴や攻撃パターンをまとめた情報)を参照し、エンドポイントに危険を及ぼすマルウェアを検知し、隔離します。
攻撃者は強い意志のもと、多大なる時間とリソースを費やし、組織の防御を破る方法を編み出してきます。そのようなとき、残念ながら多くのアンチウィルス製品は、侵入を警告することはおろか、検出すらできずにエラーも表示しない「Silent failure」の状態に陥ります。
一方、EDRはサイバー攻撃を受けることを前提に対策を実施するため、エンドポイント上で不審な振る舞いをしているアクティビティを検知することで、インシデントへの対処速度を劇的に高めて、攻撃を受けても実害を発生させる前に水際で阻止することを実現します。
EDR製品と従来のアンチウイルス製品との違いに関しては、こちらのブログ「EDR製品と従来のアンチウイルス製品との違い」で詳細をご確認いただけます。
EDRとEPPの違いとは
エンドポイントセキュリティの手法として、以下の2つがよく知られています。
- EPP(Endpoint Protection Platform) :エンドポイント保護プラットフォーム
- EDR(Endpoint Detection and Response): エンドポイントでの検知と対応
EPPとEDRは目的も要素技術も異なるのですが、ベンダーによって少しずつ機能が違い、標準化組織で決めたような明確な定義もありません。アウトラインは、EPPは“防御対策”、一方のEDRは“侵入後の対応”ですが、一度発表されたプロダクトも、サイバー犯罪の巧妙化と多様化に合わせて、日々拡張されているのが実情です。
関連記事としてブログ「EPPとEDRの違いを正しく理解し高度なセキュリティ対策を実践」に詳細をご紹介してますのでご確認ください。
EDRはなぜ必要とされているのか?
NPO法人JNSA(Japan Network Security Association:日本ネットワークセキュリティ協会)によれば、2018年1月1日~12月31日に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント件数は443件。漏えい対象になった個人情報は561万3,797人となっています。※1
多くの企業が機密情報や顧客情報、社員情報を保護するための情報セキュリティシステムを構築していますが、対策も虚しく情報漏えい事件は実際に発生しています。さらに、標的型攻撃やランサムウェアといった悪質なサイバー攻撃は、依然として危険度の高い脅威だと考えられており、今後も厳重な警戒が欠かせません。※2
標的型攻撃やランサムウェアは非常に巧妙なサイバー攻撃であり、堅牢な情報セキュリティシステムを構築している企業の数々が、軒並み被害に遭っています。情報セキュリティ担当者に気づかれずに内部ネットワークへ侵入するマルウェアやハッカーを検知及び防御するためには、エンドポイントにて複数のアクティビティを収集し、不審な振る舞いを検出するためのEDRが欠かせないのです。
加えて、EDRが必要とされている理由はもう1つあります。
それが「マルウェアやハッカーからの攻撃を受けているエンドポイントの、早急な隔離」です。EDRの中にはマルウェアやハッカーからの攻撃を受けたエンドポイントを素早く特定し、遠隔操作によってネットワークから隔離する機能が備わっています。
脅威インシデントが発生した場合でもエンドポイントを早急に隔離することで、感染の拡大等を防ぎます。さらに、EDRは他のエンドポイントの感染状況等も素早く把握することで、攻撃を受けている他のエンドポイントも隔離し、システムの心臓部や機密情報へのアクセスを効果的に防ぎます。
[SMART_CONTENT]
EDRに求められる代表的な4つの機能
EDRは、エンドポイントを保護することを目的に提供されますが、具体的には以下の代表的な機能を有していることがほとんどです。ここでは4つの機能をご紹介致します。
検知防御機能
EDRは、サイバー攻撃などの脅威が侵入してくることを前提に作られています。そのため、すぐに検知して防御できるのが特徴です。いつどのようなサイバー攻撃が仕掛けられても、すぐに検知して防御できるようにシステムを常に見張っています。
インシデント対策機能
EDRはインシンデント対策機能によって、不審な動きを発見すると迅速にその端末を封じ込めます。検知された端末をネットワークから隔離し、外部への情報漏洩を防ぐのです。被害を最小限に抑えるため、他の端末への感染も防ぎます。
解析調査機能
脅威が検知された場合、防御やインシデント対策を行った上で、原因や感染経路、影響を受けた範囲などを解析し、調査する必要があります。
EDRには解析調査を自動で行う機能が備わっているものがあり、疑わしいファイルの隔離やログの保存などを行い、遠隔地にある感染端末のプロセスを強制的にシャットダウンすることができます。このような機能があれば、遠隔地における解析調査の効率化を図れるでしょう。
エンドポイント監視(モニタリング)機能
サイバー攻撃をエンドポイントで検知してそれ以上の侵入を抑える、いわゆる水際対策を行うのがEDRです。そのため、エンドポイントを監視(モニタリング)する機能が備わっています。ネットワーク内のそれぞれのエンドポイントをリアルタイムで監視し、すべてのエンドポイントの状態をわかりやすくモニターに表示して可視化できることもメリットです。
関連記事:EDRの代表的な4つの機能とは 〜あらゆるマルウェアのセキュリティ対策に〜
クラウドネイティブなEDRが主流に
最近では時代の要請からクラウドは当たり前になりつつあり、EDR自体もクラウド対応が主流になってきています。そのため、グループ企業や海外現地法人対応なども過去に比べて容易になってきています。
新しい脅威への対策、クラウドサービス、テレワーク、モダンなセキュリティ運用というキーワードから導かれるのは「クラウドネイティブエンドポイントセキュリティ」──クラウドサービスとして提供されているEDRです。今後の製品選定の際にはぜひクラウドネイティブなEDR製品を検討する必要があるでしょう。
関連記事:次世代のITと働き方を守るクラウドネイティブEDR
業界最高レベルのEDR製品
EDRを実践するためにはEDR製品の導入が必要不可欠です。こちらの記事「EDR製品を選定する際のポイントを解説 〜4つのフェーズに対応できていますか?〜」で詳細を述べていますが、時代のニーズに呼応したソリューションとして評価を受けるエンドポイント保護プラットフォーム「CrowdStrike Falcon」です。詳細は、「「CrowdStrike Falcon」が選ばれる理由とは?変化するビジネス環境でのセキュリティ対策」をご確認ください。
CrowdStrikeが提供するEDR Falconは、クラウドネイティブなエンドポイント保護を提供することで、非常に軽量な動作性を実現しつつ、人工知能を備えたグラフデータベースによって即時的な可視性を提供し、脅威ライフサイクル全体を通じた保護を実現します。
エンドポイント全体の包括的な可視性を必要とし、本格的な被害に至る前に悪質な活動を検知し対応することを求める企業は、CrowdStrikeのEDRソリューション「Falcon Insight」と画期的なハンティングサービス「Falcon OverWatch」を組み合わせることにより、即効性があり、強力かつ包括的なソリューションを手に入れることができます。
※1 出典:INTERNET Watch『個人情報漏えいインシデント、2018年は560万人以上が被害に JNSA調査速報版』
※2 参考:独立行政法人IPA(Information-technology Promotion Agency:情報処理推進機構)『情報セキュリティ10大脅威 2019』
