
好きな所から読む
新型コロナウィルス感染症の影響もあり、テレワークに必要なセキュリティ対策としての認知度が高まっているEDR。今回はそんなEDRについて基本から分かりやすく解説しました。
⇒EDRを使って、アフターコロナ時代に求められるゼロトラストを実現しましょう。ゼロトラストに関する資料を今だけ無料プレゼント中!
EDRとは?
「EDR」とは何かご存知でしょうか?「EDR」は Endpoint Detection and Response の頭文字をとった略称です。「EDR」とは、エンドユーザーのクライアントのパーソナルコンピューターやサーバー機器(使用する環境の終端を「エンドポイント」と位置付けています。)における不審な挙動を検知して、迅速な対応を支援するセキュリティー対策を支援するソリューションを言います。ネットワーク環境に接続するパーソナルコンピューター・サーバーマシンの稼働状況と通信内容を監視します。
その中で、異常な信号・不正と思われる通信・挙動不審な操作を感知したときに、ネットワーク環境の管理者に「異常な動きをしているパーソナルコンピューターやサーバーマシン」を通報する仕組みです。ネットワーク環境の管理者は通報を受領すると、「EDR」から通報があった異常な動きをしているパーソナルコンピューターやサーバーマシン」のログや通信履歴を分析して、対応策を施します。EDRはファイアウォールなどのセキュリティ対策アプリケーションソフトウエアではなく、ネットワーク環境配下の機器の異常を検知する仕組みなのです。また、既存のセキュリティー対策を強固に構築したネットワーク環境であっても、特定のエンドユーザーのクライアントのパーソナルコンピューターに対する「サイバー攻撃」を完全に防御することに限界があるために、異常信号に基づいてネットワーク環境の管理者が人的なセキュリティー対策を施すことが目的になっています。
ネットワーク環境の管理者の迅速な対応を施すことで、社内ネットワーク(イントラネット環境)の異常を拡散させずに、未然に防ぐ対応策が注目を浴びています。「EDR」をシステム的に紹介すると、「EDR」プラットフォームは、エンドポイント(エンドユーザーのクライアントのパーソナルコンピューターやサーバーマシンなどのネットワーク環境配下の終端位置)の監視強化をするために開発されたソリューションです。標的型攻撃の不正アクセス、ランサムウェアによるサイバー攻撃等を検出・検知してネットワーク環境の管理者に通報して、人的対応で不測事態を防ぐためのエンドポイント・セキュリティ・ソリューションです。
EPPとの違い
「EDR」と「EPP」との相違点を紹介します。「EDR」は前章で説明しましたが、「EPP」と は何か?紹介します。「EPP」は Endpoint Protection Platform の頭文字をとった略称です。 日本語で紹介すると、エンドポイント(エンドユーザーのクライアントのパーソナルコンピ ューターやサーバーマシンなどネットワーク環境配下の終端位置)終端保護プラットフォ ームと言います。エンドポイント(終端位置)にマルウェア(不正・有害に動作させる意図 で作成した悪意があるソフトウェア・悪質なコードの総称をいいます。)などに感染しない よう保護することを目的としたセキュリティー対策ツールを言います。
マルウェア(不正・ 有害なコード群)に感染しないようにする「EPP」に対して、「EDR」はマルウェア感染後 に被害を抑えることを主目的としたセキュリティー対策支援ソリューションです。昔から 個人・法人などで広く活用している「アンチウイルスソフト(コンピュータ内部に潜入した コンピューターウイルスを検知して排除するアプリケーションソフトウエアを言います。)」 は「EPP」の一種です。アンチウイルスアプリケーションソフトウエアは、マルウェア(不 正・有害なコード群)の攻撃パターンである「シグネチャ(署名と和訳されます。e メール の文末に社名・氏名・電話番号・URL・メールアドレスが定型文群を示します。)」を基にマ ルウェアを発見します。アンチウイルスアプリケーションソフトウエアは最新のマルウェ アに対応するため、随時、最新状態にアップデートされていますが、攻撃パターンを把握できていない未知のマルウェア対応に厳しい場面が散見されました。
そのため、攻撃パターン や不正操作を検知した履歴を機械学習(ML)させて、ウイークポイントを補うための 「NGAV:Next Generation Anti Virus」と称される、セキュリティー対策ツールが誕生し ています。一般に流通しているアンチウイルスアプリケーションソフトウエアでは不正の 発見が難しい攻撃パターンを検知して防御するソリューションです。また、ネットワーク環 境配下で正規アプリケーションを悪用する攻撃を防御することが可能になりました。
従来のセキュリティ対策ソフトとの違い
「従来のセキュリティー対策をアプリケーションソフトウエアと「EDR」の相違点を紹介 します。従来のセキュリティー対策アプリケーションソフトウエア製品群は、「マルチウエ ア(不正・有害なコード群)」に感染しないこと、感染拡大する前に当該のマルチウエアを 排除・抹消することです。「EDR」製品群は、「不正な挙動操作の検知、マルウェアに感染し たときの対応策を迅速に行うこと」が目的です。「EDR」は従来のセキュリティー対策アプ リケーションソフトウエア製品群が発見できない後工程を担うソリューションです。「セキ ュリティー対策アプリケーションソフトウエア」「EDR」製品群は各々得意分野が異なりま す。従来のセキュリティー対策アプリケーションソフトウエアから「EDR」製品群に切り替 える使途は有効ではありません。セキュリティー対策アプリケーションソフトウエアと 「EDR」を併用した使途が最適な環境になります。「EDR」の役割は、不正操作・挙動不審 などを検知してセキュリティーインシデント(コンピューター利用・情報管理、情報システ ム運用に関して保安(セキュリティー)上の脅威となる事象を示します。)の対応業務を支援 することを目的にした製品群です。
なぜEDRが注目されているのか
この段落ではなぜ EDR が注目されているのかについて紹介します。内部ネットワーク環境(イントラネット 環境)配下のエンドポイント(エンドユーザーのクライアントのパーソナルコンピューター やサーバーマシンなどネットワーク環境配下の終端位置)終端保護プラットフォームと言 います。エンドポイント(終端位置)にマルウェア(不正・有害に動作させる意図で作成し た悪意があるソフトウェア・悪質なコードの総称をいいます。)などに感染しないよう保護 することを目的としたセキュリティー対策ソリューションである「EPP」の普及率が高位のなかで、「EDR」が注目を集めているのでしょうか。
マルチウエアに感染しないことを重視 すると、サイバー攻撃の検知・発見・初期の対策に後追いになり、マルチウエアの感染拡大 に至るケースがあり得ます。前章で説明しましたが「EPP」の実装で、全てのサイバー攻撃 を防御することはできません。また「NGAV」を実装していても、新種のマルチウエアの背 侵入を防御することはできません。サイバー攻撃に備えるために「EPP」と「EDR」を併用 した「二段階防御」をしてマルチウエアの侵入、サイバー攻撃を防御する対策方法が注目を 集めています。
サイバー攻撃の脅威
サイバー攻撃を未然に防ぐ EPP だけでは、エンドポイントセキュリティは十分とは言えま せん。サイバー攻撃への対処が遅れれば、大規模な機密情報の情報漏えいや企業 Web サイトの稼働停 止などに発展する可能性は高まることなどから、未知のマルウェアに感染してしまった際 に、素早く検知し対処する EDR に注目が集まっています。EDR には単体の製品のほか、 EPP と EDR を組み合わせたエンドポイント対策パッケージもあります。企業・組織の実情 に沿った、適切なサービスを選択しましょう。
サイバー攻撃に対する新しい考え方
サイバー攻撃の手口は、年々高度化してきつつあります。マルウェアに感染させた上で偽装 メールを送信し、口座情報などを詐取して金銭を盗み取る「ビジネスメール詐欺」などの、 何段階にもわたる巧妙な手口のサイバー攻撃が日本でも確認されています。さまざまな攻 撃に対処するため、情報セキュリティー対策において攻撃を未然に防ぐ対策だけでなく、 「サイバー攻撃を受けることを前提とした対策」も注視されています。
また、昨今では境界型セキュリティに対するゼロトラストの構築が注目を集めています。詳細は別の記事をご覧頂くとして、ゼロトラストネットワークの実現にはエンドポイントの保護と認証基盤の構築が不可欠です。そしてエンドポイントの保護としてEDRが、認証基盤として多要素認証やIDaaSが注目を集めている状況と言えます。
EDRの導入効果
「EDR:Endpoint Detection and Response」は、エンドポイント端末(利用者端末)向けの セキュリティ・ソリューションだ。エンドポイントでの監視を強化し、端末内に侵入したラ ンサムウェアや標的型攻撃などのサイバー攻撃を検出することが目的です。エンドポイント 端末から収集した動作情報(ファイルやプロセスの挙動・レジストリーの変更・ネットワー ク通信の情報など)の解析や分析などを行い、挙動の異常からマルウェア感染や侵入を検知。 エンドポイント端末の隔離やシステム停止などを行うことで、重大な社内システムへの影 響を防ぐ。「ウイルス感染を前提としたセキュリティー対策」実現を支援するソリューショ ンを示します。
感染を前提とした対策
感染を前提とした対策が可能です。従来型エンドポイントセキュリティーである「EPP: Endpoint Protection Platform」製品群は、エンドポイント端末の感染防止を目的としてい ます。しかし、最近のサイバー攻撃は標的型攻撃や正規 OS 機能の乗っ取りなどをはじめ攻撃 が巧妙化しており、全ての攻撃を水際で完全に防御することは難しい状況に至っています。 このため、感染を前提とした対策が主流の考え方となっており、「EDR」はこれを実現する ことが可能なソリューションです。
セキュリティ侵害の原因特定
セキュリティ侵害の原因特定機能が重要です。「EDR」は、エンドポイント端末の挙動を監 視してログ記録を蓄積しながら、通常の操作ではあり得ないおかしな動作の兆候から不審 なプログラムやプロセスを検知します。前記の疑惑・疑念があるデータをさらに詳細に解析 や分析及び調査を行い、感染端末や侵入経路、被害状況などを可視化する機能です。
システム全体へのインシデント対応支援
システム全体での脅威把握機能が重要です。このことを「インシデント対応支援」と称しま す。「EPP」などの従来型エンドポイントセキュリティツールでは、個々のエンドポイント 端末で脅威の検知と防御を行います。対して「EDR」は全てのエンドポイント(システム全 体)の挙動を把握することが可能です。一箇所のエンドポイントで感染を検知したとき、感 染範囲を確認し被害拡大を防ぎ、特定した原因への対策を全てのエンドポイントに適用す ることで二次被害の防止が可能になります。
インシデントに関するコスト削減
インシデント発生時のコスト削減が可能です。エンドポイントでインシデントが発生する と、証拠保全や対応までに消失した社内情報の調査、原因特定や拡散範囲、ステークホルダ ーへの状況説明や対応策の説明をする必要があります。ケースによっては説明の対応がで きないケースもあり得ます。「EDR」を導入することで、エンドポイントでの動作が記録さ れるので証拠保全につながり、解析・分析による原因特定、封じ込めなどを迅速に行うこと ができます。そのため、負担や時間的コスト、経営的損失を大幅に軽減できます。
EDRの機能や特徴
「EDR:Endpoint Detection and Respons」を和訳すると「エンドポイント監視(モニタリ ング)機能」になります。端末の挙動記録を行います。エンドポイント端末にセンサーを常 駐させて、ファイル操作やネットワーク接続、レジストリー情報、イベントログなどの端末 の動作情報を監視して記録します。
解析・調査
「解析・調査機能」紹介します。
- 「クラウド脅威情報基盤による脅威分析」です。「EDR 提供ベンダーが提供するクラウド上のインテリジェントプラットフォームによる脅威の分 析を行います。
- 「マルウェア解析」です。エンドポイントのモニタリングにより蓄積した ログをアンチマルウェアエンジンにより解析し、マルウェアの可能性がある挙動を検知し ます。
- 「不正プログラムや不正侵入の解析」です。「YARA」「Open IOC(IOC:Indicators of Compromise)」などのルールに基づいた調査を行い、不正プログラムや侵入の痕跡を発 見します。
- 「インシデント詳細解析」です。様々な解析機能により検知された疑わしいプ ログラムやプロセスを、さらに詳細に解析します。
検知・防衛
「検知・防御機能」を紹介します。
- 「マルウェア検知」機能です。エンドポイント端末(PC など)に対して、マルウェアとして報告されているファイルやハッシュ値に基づき検索を行 うことで、マルウェアが存在するパーソナルコンピューターを特定します。
- 「アラート/ 警告」機能です。エンドポイント端末でのマルウェアの発生、感染や侵入などを検知した場 合に、ユーザーや管理者に警告します。
- 「ファイアウォール」機能です。外部からの攻撃 やマルウェアの脅威からエンドポイント端末を防御します。
- 「セキュリティーレベルの確 認」機能です。エンドポイント端末(PC など)にインストールされているアプリケーショ ン情報を取得し、バージョンアップやパッチ更新が行われているかどうかを監視すること で、端末のセキュリティーレベルを確認します。
- 「アプリケーションソフトウエア自動更 新」機能です。ビジネスで使われることの多い代表的なアプリケーションソフトウエアを、 バックグラウンド処理で強制的に最新版に更新します。
インシデント対応
「インシデント対策機能」を紹介します。
- 「システム制御」機能です。外部からの感染や 侵入が検知された場合、インシデントが解決されるまでネットワークの切断やアプリケー ションソフトウエアの非アクティブ化などを行います。
- 「プロセスの自動停止」機能です。 マルウェアの疑いがある挙動を検知した場合に、該当するプロセスを自動停止します。
- 「プロセス停止」機能です。マルウェアと疑われるプロセスが動作しているパーソナルコン ピューターを管理者がリモートで強制停止します。
EDRの製品のオススメ、比較
製品名 | 開発元 | 特徴 | 提供形態 | 対応規模 |
セキュリティ ー ソ フ ト SentinelOne | 株式会社 TTM | 侵入前は AI で検知・阻止 し、従来のアンチウィル スソフトでは対応できなかった 侵入後でも対応 ができるセキュリティー ソフトです。 | PKG | 無制限 |
標的型サイバ ー攻撃対策 『V-threat 標 的型攻撃メー ル訓練』 | 株式会社バルク | 標的型攻撃メール訓練 は、配信メールテクニッ クが他社とは断然違いま す! 社内の危機管理体 制の検証も可能。それに よって、緊急事態時の各 自の対応や社内危機管理 体制の検証も可能です。 | カスタム | 無制限 |
標的型攻撃対 策 FireEye | AJS 株式会社 | 業界トップシェア、検知 率 No.1 を誇る標的型攻 撃対策ソリューションで す。 | カスタム | 無制限 |
マルウェアを 検 知 ビジネ ス スイート | エフセキュア株 式会社 | Windows パソコン・サー バーに、未知のマルウェ アを検知するサンドボッ クスとゼロデイの攻撃を ブロックする振る舞い検 知を搭載します。Linux 製品などのライセンスも 含んだオールインワンの パッケージです | PKG | 無制限 |
標的型攻撃対 策 NonCopy2 | サイエンスパー ク株式会社 | 業務ファイルの安全な活 用を実現するセキュリテ ィーソフトウェアです。 保護ファイル操作中はイ ンターネット接続を遮 断。標的型攻撃でマルウ ェアが混入した際にもフ ァイルの不正な持ち出し を防止します。 | PKG | 最大 50 |