エンドポイント型 サイバー攻撃対策 Cybereason(サイバーリーズン)

お問い合わせはこちら
 
 

情報システム部小島くんのセキュリティ奮闘記(第2回:EDRの情報収集)

情報システム部小島くんのセキュリティ奮闘記(第2回)
※記事の時間:6分

EDR(Endopoint Detection and Response)とは何か?なぜ必要になってきたのか?

※2019年10月掲載

~EDR(Endopoint Detection and Response)とは~

第1回で説明させて頂いたように、これまでのセキュリティ対策は「ウィルスに感染しないこと」など、侵入させずに攻撃を水際で防ぐことが目的でした。しかしながら昨今の様々な攻撃などを防ぎきれないケースが多々発生しております。本章で紹介するEDRは、エンドポイントにおける「不正な挙動を検知し、感染した後の対応を迅速に行うこと」を目的とし、最終的に情報漏洩やデータ破壊を防ぐためのソリューションとなります。

<従来型のアンチウィルス製品(EPP)とEDRの違い>

皆様ご存知の通り、エンドポイントのセキュリティ製品としては様々なベンダーからアンチウィルス製品(EPP)が販売されていますが、EDRとの違いや役割についてご存知でしょうか。ここでは、皆様に身近な「家」を例に役割を記載します。

カギの役割はカギをもっている人しか家に入れないようにすることを目的としています。しかし、泥棒はカギや窓を破壊したり、カギをコピーして家の中に侵入してきます。家の中に侵入されてしまったら、金品などが盗まれ放題です。もし監視カメラを設置することで、侵入を検知することができれば、警察や警備会社に連絡して被害を最小限にとどめることができます。
これをサイバーセキュリティに言い換えると、既知のマルウェアなどを入口で防御するのが従来型のアンチウィルス製品(EPP)、未知のマルウェアなどに感染した後に迅速な対応をするのがEDR、となります。なお先の「家」の例と異なり、一般的にサイバー攻撃による情報漏洩やデータ破壊には攻撃者側も一定の時間が必要となるため(ランサムウェア除く)、適切に検知・対応ができれば被害を防ぐことも可能です。

「EDRを導入したら、従来のセキュリティ製品は必要ないのでは。」と言うご質問をよく頂きますが、監視カメラを設置しているからといって、カギを施錠しない方はいらっしゃらないかと思います。サイバーセキュリティも同様で、従来型のアンチウィルス製品(EPP)により水際対策を実施することで多くの既知のマルウェアの侵入を防ぎ、それでも侵入したマルウェアに対してEDRで対応する、というように併用することが重要かと考えます。
またEDRは収集したログから再発防止策を迅速に立案することができます。例えば、自宅に泥棒が入った場合、警察が現場検証します。調査した結果、玄関のカギが旧式でピッキングされたと分かったら、ピッキング対応の新型に変えたりします。これが再発防止です。警察の調査では費用は発生しませんが、自社にマルウェアが侵入した場合は、調査に高額な費用(特に外部委託した場合)と膨大な時間を費やすことになります。しかしEDRを活用することで調査費用と時間を大幅に短縮することができます。

~EDRの導入効果~

改めて、EDRの導入効果について纏めてみました。

  • 1) 感染を前提とした対策が可能
    エンドポイントに従来のセキュリティ対策では防ぎきれなかった未知のマルウェアなどが侵入されても、EDRを使い検知・対策することで最終的に情報漏洩やデータ破壊など防止する事ができます。
  • 2) セキュリティ侵害の原因特定
    EDRではエンドポイントの挙動を監視してログを蓄積しながら、通常の操作ではあり得ないおかしな動作の兆候から不審なプログラムやプロセスを検知します。これらの疑わしい動作をより詳細に解析や分析、調査を行うこともでき、侵入経路や被害状況などを把握することができます。
  • 3) システム全体での脅威把握(インシデント対応支援)
    EDRではエンドポイント全体の挙動を把握することが可能になります。1つのエンドポイントで感染を検知した場合に、感染範囲を確認・対策を打つことで被害拡大を防ぐと共に、特定した原因への対策を全てのエンドポイントに適用することで、同様の攻撃を防止することが可能となります。
  • 4) インシデント発生時のコスト削減(フォレンジック)
    エンドポイントで不正アクセス等のインシデントが発生すると、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲、ステークホルダーへの状況説明や対応策の説明など、やらなければならないことが多いかと思います。場合によってはこうした対応ができないケースもあるでしょう。EDRを導入することにより、エンドポイントでの動作が記録されるので証拠保全につながり、解析・分析による原因特定や影響範囲、被害状況の把握を迅速に行うことができるので、管理者の負担、調査にかかる時間、社会的信頼の損失を大幅に軽減できます。

~サイバーセキュリティ・ガイドラインの動向~

企業がサイバー攻撃対策を行う上で、国からの指針として事前対策だけではなく侵入を前提とした対策の必要性が記載されています。

また、上記のサイバーセキュリティ経営ガイドラインv2.0では、経営者が認識すべき3原則を

  • 1) 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  • 2) 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • 3) 平時及び緊急時において、サイバーセキュリティリスクや対策に係る情報開示など関係者の適切なコミュニケーションが必要

としています。
特に2)サプライチェーンについては、IPA(情報処理推進機構)の「情報セキュリティ10大脅威2019」において、初登場で4位にランクインするなど近年脅威が急増しています。自社に狙われる理由がなくてもサプライチェーンに組み込まれているだけで踏み台にされるリスクもあり、3)に記載のあるように取引先に対して自社のセキュリティ対策を説明できるようにしておくことが経営者に求められています。

お時間ある際に、是非、上記の経済産業省のサイトを読み解いて頂ければと思います。

次回は、EDR製品を検討するにあたっての選定ポイントについて解説したいと思います。

 
  • 掲載されている製品、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。

製品・サービスに関する
お問い合わせ・資料請求

ご質問、ご相談、お見積もりなど
お気軽にお問い合わせください。

ITエンジニアリング事業本部
ミドルウェア第二部
お問い合わせフォーム
お問い合わせはこちら