EDRは、万が一攻撃者の侵入を許してしまった場合に、迅速な検知と対応を行うことで被害を防ぐためのセキュリティ製品です。感染を予防するウイルス対策ソフトのような従来型セキュリティ製品を補完するものであり、日本でもEDRを導入する企業は増えてきています(下図)。一方、従来型ウイルス対策ソフトとの違いが分からない、EDRの運用の負荷が不安だという声も聞かれます。本記事では、EDRと従来型ウイルス対策ソフトやEPPとの違いに触れつつ、EDRの必要性、運用にかかるコスト、導入のポイントを解説します。
EDRはエンドポイントを監視し、不審な動きをの検知や対処を行う
EDRが必要とされる背景:エンドポイントセキュリティの重要性
アンチウイルスやEPPとの違い
EDRは絶えず進化する脅威に対応
EDRは防御をすり抜けた脅威に対応
過検知による運用負荷の増大:EPPとの併用が重要
EDRが集めたログを分析するためのリソースが必要
①脅威インテリジェンスを活⽤可能な製品を選ぶ
②過検知が発生した場合はチューニングを
③導入後のアラート対応を内製にするか外注にするか
④IDaaSとの連携も
そもそもEDRとは
EDRはエンドポイントを監視し、不審な動きの検知や対処を行う
EDR(Endpoint Detection and Response)は、エンドポイントで発生する動きを監視し、不審な動きの検知や対処を行う、比較的新しいセキュリティ製品です。エンドポイントとは「末端」という意味で、ネットワークに接続された「個々の機器」(パソコン、スマートフォンなど)のことを指します。
EDRが必要とされる背景:エンドポイントセキュリティの重要性
従来のセキュリティ対策では、インターネットと組織内部のネットワークとの境界にファイアウォールやIDS/IPSといったセキュリティ製品を設置して、ネットワークを外部からの攻撃から保護するという「境界型防御」が主流でした。これに対し、近年ではリモートワーク(テレワーク)が普及し、社外のクラウドサービスや従業員の私用機器の利用(BYOD)が広まったことにより、「境界型」の手法だけでは不十分になってきました。こうした背景から、エンドポイント単位で行うセキュリティ対策である「エンドポイントセキュリティ」との併用が重要になってきています。
アンチウイルスやEPPとの違い
なお、エンドポイントを保護する製品としては、EDRのほかにEPP(Endpoint Protection Platform)があります。EPPはウイルスの感染を防ぎ、駆除する製品群を指します。従来型のアンチウイルス(ウイルス対策ソフト)や「次世代アンチウイルス(NGAV : Next-Generation Antivirus)」が代表的な例です。これに対し、EDRは感染した後の対処を担う製品であり、EPPで防ぎきれなかった攻撃を検知・阻止するものです。
なぜEDRが必要か
EDRは絶えず進化する脅威に対応
従来型のウイルス対策ソフトで全ての感染を予防できるなら、EDRは不要と言えるかもしれません。しかし、従来型のウイルス対策ソフトには、絶えず進化するマルウェアに対応しきれないという限界があります。
従来型のウイルス対策ソフトは、過去に発見されたウイルスのプログラムコードの特徴をデータベース化し、エンドポイントに同様のファイルがないかを調べます(パターンマッチング方式)。しかし、この方式では、データベースにまだ登録されていない新種のウイルスは検知できません。また、感染する度にコードをわずかに変化させる「ポリモーフィックマルウェア」のようなマルウェアを検知することは困難です。最近日本でも流行したEmotetも、ポリモーフィックマルウェアの一例です。また、最近では「ファイルレスマルウェア」や「環境寄生型攻撃(LOTL : Living off the Land attack)」など、そもそもウイルスを使わず、正規のツールを悪用して攻撃することで検知を逃れる手口も出てきています。
EDRやNGAVは、パターンマッチング方式の弱点を補う「振る舞い検知」という手法を用います。振る舞い検知とは、ウイルスのパターンの代わりに、エンドポイント上の動き(振る舞い:behavior)に注目して検知する方法です。NGAVは、通常の無害なプログラムには見られないマルウェア独特の振る舞いに注目します。EDRであれば、正規のユーザーが行わないような操作に着目します(例:権限昇格、他のデバイスへの感染拡大)。
関連記事:ピラミッドオブペインとは
EDRは防御をすり抜けた脅威に対応
NGAVもEDRも同じ手法を使って最新の脅威を検知しますが、NGAVはあくまで予防策であり、EDRは予防策をすり抜けた脅威を封じ込める緩和策です。それぞれ担う領域が異なるため、どちらか一方を導入しただけでは不十分であり、一般的には両者を併用すべきだとされています。
また、EDRは各エンドポイントでのあらゆる動きを記録するため、攻撃により情報漏洩などの被害が発生してしまった場合に必要となる「フォレンジック」(原因究明のための調査)でも役立ちます。
EDR運用にかかるコスト
ここまでEDRの必要性に触れましたが、EDRの運用にコストがかかることも事実です。
過検知による運用負荷の増大:EPPとの併用が重要
EDRは「疑わしい(グレーな)」動きを全て検知・報告するため、その動きが「黒である」ことをはっきりさせるための分析が必要になります。よって、EPPとの併用が重要になります。EPPが水際でちゃんと防いでくれれば、EDRが警告を発する機会も減るためです。
EDRが集めたログを分析するためのリソースが必要
EDRは組織で使われる大量のエンドポイントを常時監視するため、収集するログの量は膨大となります。よって、これらのログを解析するスキルを持った人材を確保するか、ログ解析を機械化する必要があります。自社内から人材を確保することが難しい場合の解決策としては、「SOC事業者への運用依頼」「運用もセットになったMDR(Managed Detection and Response)の導入」が挙げられます。また、NGAV・EDR・MDRを一体的に提供するサービスも存在し、弊社が提供するCycraft AIRはその一例です。
EDRを導入する際のポイント
EDR導入のポイントとして、情報処理推進機構(IPA)は「ゼロトラスト移行のすゝめ」の中で、以下の4つを挙げています。
①脅威インテリジェンスを活⽤可能な製品を選ぶ
⽇々⾼度化・複雑化するサイバー攻撃に対応するためには最新の脅威インテリジェンスに基づいて検知・対応を⾏う機能が有効である。脅威インテリジェンスを活⽤可能な製品を選定することをおすすめする。
②過検知が発生した場合はチューニングを
どのような挙動を検知しアラートを上げるのか、組織で必要なポリシーを定め、運⽤の中で改善する。これを⾏わなければフォールスポジティブよるユーザーへの業務影響や、運⽤部⾨の負担増が発⽣する可能性がある。過検知が発⽣した際には、業務に必要なシステムのホワイトリスト登録といったポリシーチューニングが求められる。
③導入後のアラート対応を内製にするか外注にするか
EDR は導⼊したのちに、検知されたアラートに適切に対応することで真価を発揮する。アラート対応について、内製・外注といった選択肢がある。どちらを選択するかは組織の判断に委ねられるが、「⾃組織にアラート検知にあたる⼈的リソースの確保ができるか」「(⼈的リソースが確保される前提で)アラート対応できる技術⼒を持った⼈材が⾃組織にいるか」が主な判断基準となる。技術⼒に不安のある組織は、試験運⽤中にアラート対応を⾃組織で⾏い、対応の難しい部分のみ SOC 事業者へ外注する選択肢もある。その際、外注先と協調してアラート対応を⾏い、⼈材を育てることで最終的にはアラート対応を内製で⾏う⽅針を⽴てる事もできる。
④IDaaSとの連携も
EDR の監視機能により、リスクレベルが⾼いと判断されたデバイスからのアクセスを禁⽌することができる。これを実現するために、IDaaS とEDR を連携させる。
まとめ
以上、EDRがなぜ必要か、アンチウイルスやEPPとどう違うか、そしてEDRを導入する際にどんなことがポイントになるかを解説しました。EDRを導入して終わりにせず、最大限に活用する上で、この記事が少しでも役に立てば幸いです。
最後に、マキナレコードの提供するEDRソリューション「CyCraft AIR」を紹介いたします。台湾の企業であるCyCraft社は、AI技術を活用したサイバーセキュリティ自動化サービスを提供しています。同社の製品「CyCraft AIR」は、次世代アンチウイルス(NGAV)、EDR、脅威インテリジェンスを搭載しており、MDRとしても利用可能です。
Cycraftの詳しい情報については、以下のフォームからお気軽にお問合せください
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。日本翻訳連盟「JTFほんやく検定」2級取得。