BLOG

テレワークやコミュニケーションについて
考えてみました

  1. HOME
  2. ブログ
  3. セキュリティ
  4. アンチウィルスだけではもう防げない。セキュリティ対策で注目されるEDRとは何か?

アンチウィルスだけではもう防げない。セキュリティ対策で注目されるEDRとは何か?

サイバー攻撃の技術は日々高度化し、手口も巧妙化しています。ランサムウェアなどの被害によって、巨額損失を被った企業のニュースは後を絶ちません。サイバー攻撃にはさまざまな種類がありますが、その多くは、PCやサーバといったエンドポイント(端末)に侵入し、さらに何段階にもわたる攻撃が行われます。

そこで今回は、エンドポイントに対して行われる攻撃から、致命的なセキュリティ事故を起こさないための対策として注目されている「EDR」を紹介します。

なぜEDRは注目されているのか

EDR(Endpoint Detection and Response)とは、PC、スマートフォン、タブレット、サーバなどネットワークシステムに接続されているエンドポイントの操作や動作を常に監視し、サイバー攻撃をいち早く発見して対策する仕組みです。なんらかの異常を検知したEDRは、管理者にその旨を通知すると共に、被害の拡大を防ぐための初動対策を実行します。また、監視ログ等の分析によって被害状況を明らかにするといった機能も持っています。

このようなEDR製品やサービスが注目されているのは、既存のセキュリティ対策では次々と登場する新たなサイバー攻撃に対応しきれなくなっていることが背景に挙げられます。そのため、サイバー攻撃を阻止するだけではなく、侵入されてしまうことを前提に、被害を最小限に抑えることを目的としたEDRを導入する企業が増えているのです。

実はEDRの考え方そのものは数年前からあり、それほど新しいわけではありません。しかし、世界的なパンデミックによってテレワークが急増したことで、安全性の高い企業内ネットワークの外から接続する端末も増えています。こうしたテレワーク端末は、攻撃者の標的になりやすく、セキュリティリスクとなっています。そのため、テレワークの導入に伴って、EDRへのニーズも高まっています。

EDRとEPPの違い

EDRと比較されるセキュリティ対策にとして、EPP(Endpoint Protection Platform)があります。どちらも「エンドポイント」のセキュリティ対策ですが、その役割はまったく異なっています。

セキュリティ侵害が発生した際に被害の拡大を防ぐことを目的としたEDRに対し、EPPはマルウェアの侵入をブロックするための仕組みです。セキュリティ対策として良く知られているアンチウィルスソフトも、EPPのひとつです。アンチウィルスソフトは、マルウェアの攻撃パターン(シグネチャ)を用いてマルウェアを検知してブロックしますが、未知のマルウェアは攻撃パターンがわかっていないため対応することができませんでした。アンチウィルスソフトの弱点を補うべく登場したのが、振る舞い検知や機械学習などにより、不審なマルウェアを検知するNGAV(Next Generation Anti-Virus)などと呼ばれる仕組みですが、こちらもすべての攻撃をブロックできるわけではありません。

このようにEDRとEPPはまったく異なる役割をもっており、どちらがより優れているかを比較する対象ではありません。たとえるならば、EPPは家の扉を守る鍵ですが、EDRは監視カメラや侵入者を検知するセンサーと、異常を検知したら駆けつけるガードマンのようなものです。カメラやセンサーがあるからといって、扉を施錠しないで外出する人はいないでしょう。どちらも重要なセキュリティ対策であることは間違いありません。

最近のEDRはEPP機能も一緒に提供されている製品やサービスも多く、統合セキュリティソリューションとして提供するベンダーも増えています。

EDRに求められる機能

セキュリティ対策としてEDRを導入する目的は、「検知・初動対応」「記録」「調査」という3つに大きく分けられます。わかりやすいのは最初の検知・初動対応ですが、エンドポイントのイベントをすべて記録することや、こうした記録を分析して被害状況を確認する、有事の際には説明責任を果たせる証跡を保存する、あるいは次の攻撃に備えることも非常に重要なEDRの機能です。

【EDRの主な機能】

  • すべてのエンドポイントを24時間365日監視して記録する
  • すべてのエンドポイントの状態を可視化する
  • 監視情報を分析してサイバー攻撃の兆候を検知する
  • サイバー攻撃を検知したら管理者に通知して初動対応を実行する
  • どのエンドポイントに侵入されたか、他のエンドポイントに影響はないかなど被害の状況を可視化する
  • 有事の際に説明責任を果たせる証跡を保存する

監視情報を分析して攻撃の兆候を検知するには、「この挙動はサイバー攻撃である可能性が高いのか」や「このIPアドレスへのアクセスは危険だ」といった情報が必要を、常にアップデートする必要があります。こうした情報の精度やアップデートの頻度で、セキュリティ性能が大きく変わってくるため、製品やサービスの選定の際には必ず確認しましょう。

また、分析精度を上げるため、複数のエンドポイントの挙動を相互分析する機能や、外部の脅威インテリジェンスと連携できるような高度なセキュリティ機能が提供されている方がより安心です。

最近では、EDR運用を請け負うマネージドサービスや、攻撃を受けた際に専門家によるセキュリティ対応を統合的に請け負う統合的なセキュリティサービスを提供するベンダーもあります。自社にセキュリティに詳しい人がいないという企業も多いため、こうしたセキュリティサービスも注目されています。

まとめ

・EDRはセキュリティ侵害が発生した際に被害の拡大を防ぐことを目的としている
・EPPだけではセキュリティ侵害を防ぐことは難しくなっている
・EDRの運用を請け負うマネージドサービスも増えている

関連記事