EDRは必要?アンチウイルスやEPPとの違い、運用コストは? | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > EDRは必要?アンチウイルスやEPPとの違い、運用コストは?

脅威インテリジェンス

Cyber Intelligence

Intelligence

サイバーインテリジェンス

EDRは必要?アンチウイルスやEPPとの違い、運用コストは?

Tamura

Tamura

2022.10.19

 

EDRは、万が一攻撃者の侵入を許してしまった場合に、迅速な検知と対応を行うことで被害を防ぐためのセキュリティ製品です。感染を予防するウイルス対策ソフトのような従来型セキュリティ製品を補完するものであり、日本でもEDRを導入する企業は増えてきています(下図)。一方、従来型ウイルス対策ソフトとの違いが分からない、EDRの運用の負荷が不安だという声も聞かれます。本記事では、EDRと従来型ウイルス対策ソフトやEPPとの違いに触れつつ、EDRの必要性、運用にかかるコスト、導入のポイントを解説します。

図:EDRを導入する日本企業は増加しています。エンドポイントを保護するセキュリティ製品のうち、最も導入割合が高いのは「ウイルス対策ソフト」である一方で、「EDRツール」の導入率はこの1年で約6ポイント増加しており、関心の高さが窺えます。(情報源:JIPDEC 2022,「IT-REPORT」)。

そもそもEDRとは

EDRはエンドポイントを監視し、不審な動きをの検知や対処を行う

EDRが必要とされる背景:エンドポイントセキュリティの重要性

アンチウイルスやEPPとの違い

なぜEDRが必要か

EDRは絶えず進化する脅威に対応

EDRは防御をすり抜けた脅威に対応

EDR運用にかかるコスト

過検知による運用負荷の増大:EPPとの併用が重要

EDRが集めたログを分析するためのリソースが必要

EDRを導入する際のポイント

①脅威インテリジェンスを活⽤可能な製品を選ぶ

②過検知が発生した場合はチューニングを

③導入後のアラート対応を内製にするか外注にするか

④IDaaSとの連携も

そもそもEDRとは

EDRはエンドポイントを監視し、不審な動きの検知や対処を行う

EDR(Endpoint Detection and Response)は、エンドポイントで発生する動きを監視し、不審な動きの検知や対処を行う、比較的新しいセキュリティ製品です。エンドポイントとは「末端」という意味で、ネットワークに接続された「個々の機器」(パソコン、スマートフォンなど)のことを指します。

図:EDRの仕組み(例)。各エンドポイントにインストールされた監視用のアプリケーション(スキャナー)からのデータをAIや専門家が分析し、分析結果をユーザーに報告したり、不審な動きを直ちに停止したりする。また、専門家が脅威への対処を支援する(情報源:Cycraft,2022)。

EDRが必要とされる背景:エンドポイントセキュリティの重要性

従来のセキュリティ対策では、インターネットと組織内部のネットワークとの境界にファイアウォールやIDS/IPSといったセキュリティ製品を設置して、ネットワークを外部からの攻撃から保護するという「境界型防御」が主流でした。これに対し、近年ではリモートワーク(テレワーク)が普及し、社外のクラウドサービスや従業員の私用機器の利用(BYOD)が広まったことにより、「境界型」の手法だけでは不十分になってきました。こうした背景から、エンドポイント単位で行うセキュリティ対策である「エンドポイントセキュリティ」との併用が重要になってきています。

関連記事:私物機器の業務利用「BYOD」のリスクとセキュリティ対策

アンチウイルスやEPPとの違い

なお、エンドポイントを保護する製品としては、EDRのほかにEPP(Endpoint Protection Platform)があります。EPPはウイルスの感染を防ぎ、駆除する製品群を指します。従来型のアンチウイルス(ウイルス対策ソフト)「次世代アンチウイルス(NGAV : Next-Generation Antivirus)」が代表的な例です。これに対し、EDRは感染した後の対処を担う製品であり、EPPで防ぎきれなかった攻撃を検知・阻止するものです。

図:EDR、EPP、アンチウイルス、次世代アンチウイルス(NGAV)の関係

なぜEDRが必要か

EDRは絶えず進化する脅威に対応

従来型のウイルス対策ソフトで全ての感染を予防できるなら、EDRは不要と言えるかもしれません。しかし、従来型のウイルス対策ソフトには、絶えず進化するマルウェアに対応しきれないという限界があります。

従来型のウイルス対策ソフトは、過去に発見されたウイルスのプログラムコードの特徴をデータベース化し、エンドポイントに同様のファイルがないかを調べます(パターンマッチング方式)。しかし、この方式では、データベースにまだ登録されていない新種のウイルスは検知できません。また、感染する度にコードをわずかに変化させる「ポリモーフィックマルウェア」のようなマルウェアを検知することは困難です。最近日本でも流行したEmotetも、ポリモーフィックマルウェアの一例です。また、最近では「ファイルレスマルウェア」や「環境寄生型攻撃(LOTL : Living off the Land attack)」など、そもそもウイルスを使わず、正規のツールを悪用して攻撃することで検知を逃れる手口も出てきています。

関連記事:Emotetの活動が2022年3月に急増、日本のユーザーも標的に

EDRやNGAVは、パターンマッチング方式の弱点を補う「振る舞い検知」という手法を用います。振る舞い検知とは、ウイルスのパターンの代わりに、エンドポイント上の動き(振る舞い:behavior)に注目して検知する方法です。NGAVは、通常の無害なプログラムには見られないマルウェア独特の振る舞いに注目します。EDRであれば、正規のユーザーが行わないような操作に着目します(例:権限昇格、他のデバイスへの感染拡大)。

関連記事:ピラミッドオブペインとは

EDRは防御をすり抜けた脅威に対応

NGAVもEDRも同じ手法を使って最新の脅威を検知しますが、NGAVはあくまで予防策であり、EDRは予防策をすり抜けた脅威を封じ込める緩和策です。それぞれ担う領域が異なるため、どちらか一方を導入しただけでは不十分であり、一般的には両者を併用すべきだとされています。

また、EDRは各エンドポイントでのあらゆる動きを記録するため、攻撃により情報漏洩などの被害が発生してしまった場合に必要となる「フォレンジック」(原因究明のための調査)でも役立ちます。

EDR運用にかかるコスト

ここまでEDRの必要性に触れましたが、EDRの運用にコストがかかることも事実です。

過検知による運用負荷の増大:EPPとの併用が重要

EDRは「疑わしい(グレーな)」動きを全て検知・報告するため、その動きが「黒である」ことをはっきりさせるための分析が必要になります。よって、EPPとの併用が重要になります。EPPが水際でちゃんと防いでくれれば、EDRが警告を発する機会も減るためです。

EDRが集めたログを分析するためのリソースが必要

EDRは組織で使われる大量のエンドポイントを常時監視するため、収集するログの量は膨大となります。よって、これらのログを解析するスキルを持った人材を確保するか、ログ解析を機械化する必要があります。自社内から人材を確保することが難しい場合の解決策としては、「SOC事業者への運用依頼」「運用もセットになったMDR(Managed Detection and Response)の導入」が挙げられます。また、NGAV・EDR・MDRを一体的に提供するサービスも存在し、弊社が提供するCycraft AIRはその一例です。

関連記事:「CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説

EDRを導入する際のポイント

EDR導入のポイントとして、情報処理推進機構(IPA)は「ゼロトラスト移行のすゝめ」の中で、以下の4つを挙げています。

関連記事:「ゼロトラストセキュリティとは?5つの構成要素と対策の具体例

①脅威インテリジェンスを活⽤可能な製品を選ぶ

⽇々⾼度化・複雑化するサイバー攻撃に対応するためには最新の脅威インテリジェンスに基づいて検知・対応を⾏う機能が有効である。脅威インテリジェンスを活⽤可能な製品を選定することをおすすめする。

関連記事:脅威インテリジェンスとは何か? その種類と重要性

②過検知が発生した場合はチューニングを

どのような挙動を検知しアラートを上げるのか、組織で必要なポリシーを定め、運⽤の中で改善する。これを⾏わなければフォールスポジティブよるユーザーへの業務影響や、運⽤部⾨の負担増が発⽣する可能性がある。過検知が発⽣した際には、業務に必要なシステムのホワイトリスト登録といったポリシーチューニングが求められる。

③導入後のアラート対応を内製にするか外注にするか

EDR は導⼊したのちに、検知されたアラートに適切に対応することで真価を発揮する。アラート対応について、内製・外注といった選択肢がある。どちらを選択するかは組織の判断に委ねられるが、「⾃組織にアラート検知にあたる⼈的リソースの確保ができるか」「(⼈的リソースが確保される前提で)アラート対応できる技術⼒を持った⼈材が⾃組織にいるか」が主な判断基準となる。技術⼒に不安のある組織は、試験運⽤中にアラート対応を⾃組織で⾏い、対応の難しい部分のみ SOC 事業者へ外注する選択肢もある。その際、外注先と協調してアラート対応を⾏い、⼈材を育てることで最終的にはアラート対応を内製で⾏う⽅針を⽴てる事もできる。

④IDaaSとの連携も

EDR の監視機能により、リスクレベルが⾼いと判断されたデバイスからのアクセスを禁⽌することができる。これを実現するために、IDaaS とEDR を連携させる。

まとめ

以上、EDRがなぜ必要か、アンチウイルスやEPPとどう違うか、そしてEDRを導入する際にどんなことがポイントになるかを解説しました。EDRを導入して終わりにせず、最大限に活用する上で、この記事が少しでも役に立てば幸いです。

最後に、マキナレコードの提供するEDRソリューション「CyCraft AIR」を紹介いたします。台湾の企業であるCyCraft社は、AI技術を活用したサイバーセキュリティ自動化サービスを提供しています。同社の製品「CyCraft AIR」は、次世代アンチウイルス(NGAV)、EDR、脅威インテリジェンスを搭載しており、MDRとしても利用可能です。

Cycraftの詳しい情報については、以下のフォームからお気軽にお問合せください

Writer

Tamura株式会社マキナレコード インテリジェンス・翻訳チーム

著者

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。日本翻訳連盟「JTFほんやく検定」2級取得。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ