従来、「エンドポイントセキュリティ」と呼ばれてきたセキュリティ対策も新たなフェーズに入り、EDRなど次世代型のソリューションを活用するシーンも増えている。今回の記事では、EDRが求められている背景を踏まえながら、その概要とEDRから派生して登場してきた、新たなソリューションまでを解説していく。
本記事は2020年2月6日に掲載した「EDRとは?エンドポイントセキュリティに求められる侵入検知と対応」に加筆修正をしたものです。
![EDRとは?ほかのエンドポイントセキュリティとの違いは?[更新]](/files/user/malware_info/images/special/230420/0.jpg)
EDRとは?
EDR(Endpoint Detection and Response)とは、日本語では「エンドポイントでの検知と対応」を意味する。昨今、高度化・巧妙化の一途を辿るサイバー攻撃の実情を踏まえ、そうした攻撃を完全に防ぐことは難しいとの前提に立ち、その異変を逐一検知し、以降の対応を速やかに行うためのソリューションである。
パソコンやサーバー、スマートフォン(以下、スマホ)といったエンドポイントの端末を狙う攻撃手法は日夜新たなものが開発されている。例えば、マルウェアにおける亜種の作成、難読化、サンドボックス回避を目論む高度なマルウェア、複数のダウンローダーを経由する手口、ゼロデイ脆弱性を狙うマルウェア、さらにはファイルレスマルウェアといったものまで生み出されている。
従来、「EPP(Endpoint Protection Platform)」では、マルウェアをエンドポイント、すなわち水際で防ぐという考えをベースにソリューションが開発されてきた。しかし、未知の脅威の登場がもはや前提となり、より高度な標的型攻撃も広がりつつある中、「水際で防ぐ」というエンドポイントセキュリティの根本的な考え方を再考すべき時期に来ている。
未知の脅威による攻撃自体はもはや避けられないものとして、攻撃による被害を最小限に防ぎつつ、迅速な復旧を目指す「インシデントレスポンス」の概念をもとに、EPPを補完する役割としてエンドポイントの常時監視・不審な挙動、攻撃の検知を行うのがEDRである。
EDRの仕組みと機能
EDRのソリューションは基本的に、従業員のパソコンやスマホ、タブレットなどの端末にインストールする。そして、それらの端末から常時ログを収集してソリューションが監視・分析。こうしたスレットハンティングを通じて、異常を検知した際にアラートを発出するという仕組みだ。
また、EDRに付随するサービスとしてアウトソーシングでの常時監視がある。この場合、アウトソーシングを担うセキュリティベンダー内に対応チームが組まれ、アラート通知の際にその対応までを行うサービスが多い。依頼元企業内のCSIRTなどと連携して、インシデントへの対応、そして早期復旧を目指していく。昨今、セキュリティ人材の不足が叫ばれているが、こうした「マネージドEDR」と呼ばれるアウトソーシングサービスの利用で補完する企業も少なくない。
EDRが提供する、主要な機能は以下のとおりだ。
- リアルアイムでのログ収集、取得
- ログ分析の自動化
- 分析にもとづいた異常の検知、アラート発出
- 脅威検知時の対応、異常端末のネットワークからの切り離し
- 脅威の侵入に関する原因分析、影響範囲の特定
つまり、エンドポイントとなるパソコンやスマホなどの端末を常時監視し、マルウェアなどの脅威を検知(Detection)して、その脅威に対応(Response)するのがEDRの主たる機能だ。サイバー攻撃の手口が巧妙化し、ある程度の期間をかけて計画的に攻撃を進めるケースも珍しくない。こうした攻撃側の凶悪化に備えるためにも、常時監視してその兆候を検出することが求められている。
インシデントレスポンスのためのEDR
また、EDRの導入が広がる背景には、「インシデントレスポンス」と呼ばれる取り組みが浸透していることも関係している。先述のように攻撃手法が多様化、巧妙化する中で、そうした攻撃を完全に防ぐことは極めて難しくなっている。そのため、脅威が侵入した場合でも、迅速に事態の収拾を図ることで被害の最小化を目指すという考えにセキュリティ対策の潮流はシフトしつつある。
というのも、サイバー攻撃は国際的な闇ビジネスとして確固たる地位を確立しつつあり、その市場規模も年々拡大の一途を辿っているとされる。右肩上がりの成長産業として、豊富な資金や人材も流れ込んでいる。ドイツのセキュリティ対策評価機関であるAV-TESTの調査によると、1秒間に4.4個(1日にあたり約37.6個)の新種のマルウェアが作られていると言われている。この数字が示すように、サイバー攻撃の進化は加速度を増しており、もはや従来型の対策だけでは防御が難しくなってきているのだ。
このような状況を受け、国内でも政府が本腰を上げて対策が進められている。例えば、企業におけるセキュリティ対策の指針として用いられる「サイバーセキュリティ経営ガイドライン」は2017年11月に更新された。その際の改訂ポイントが、「リスク対応策(防御・検知・分析)の実施」と「復旧体制の整備」である。これは2014年2月にNIST(米国標準技術研究所)からリリースされた「Cybersecurity Framework」の考え方を参考にするなど、世界の潮流に足並みを揃えている。
なお、このサイバーセキュリティ経営ガイドラインは時代状況に応じて更新されている。加えて、2022年3月には2017年発行のVer.2を元にした、「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版」が発行されるなど、派生した資料も作成されている。
また、「フレームワーク・コア」と呼ばれる、組織がサイバーセキュリティのリスクを管理するために必要とされる枠組みでサイバーセキュリティを考えるなど、従来型の防御一辺倒ではなく、インシデントの発生を前提とした考え方への転換を勧告したものとなっている。先述のとおり、今後は日本国内でもNISTの考えを元にした対策が前提となっていくことも考えられるため、こうした背景も併せて押さえておきたい。
EDR+EPPで速やかな対応、復旧を
完全な防御対策が現実的ではなくなるのであれば、いっそのこと防御対策は放置し、侵入後の対策のみにフォーカスした方が効率的と考える向きもあるかもしれない。しかし、現実空間での安全対策で考えてみると、そうした極論は正しい判断とは言えないだろう。現実世界でも、金銭など重要なモノ・情報を保管するためには幾重ものガードが施されるものだ。
銀行を例に想像するとわかりやすい。銀行はユーザーから預かった現金を金庫に保管する。金庫の侵入対策として、鍵やパスワード、防犯カメラ(および発せられるアラート)が挙げられる。そして、侵入された場合の対策として、金庫内への監視カメラ設置(および侵入検知後のアラート)、侵入者の行動を阻害するための催涙ガス散布機などが考えられる。
この場合の侵入される前の対策がEPP、侵入後の対応策がEDRとなる。要するに、仮に侵入を防ぐガードが破られた場合でも、その後の対応策を用意しておくことで、被害を最小限に防ぎ、原因の特定も進めやすくなる、という考え方だ。
このような考えでEPPとEDRを組み合わせて対策を講じる動きが着実に広がりつつある。特に、最近では「次世代型」として振る舞い検知や機械学習といったエンドポイントにおける新しいテクノロジーを採用した、NGEPP(Next Generation Endpoint Protection Platform)の利用も進んでいる。
EPP、NGEPPといったソリューションで適切な防御をエンドポイントで図りつつ、EDRはあくまで「侵入された際の被害を最小化するため、感染したマルウェアの早期検知、対応、復旧をサポートする」ソリューションであることを前提とする。突破される確率を最小化するだけでなく、突破された際の速やかな対応、復旧を確立することで相対的な安全性を高めるという動きは、着実に広まりつつある。
NDR、XDRという選択肢
ネットワークを流れるトラフィックを常時、かつ包括的に監視することにより、既知のマルウェアにとどまらず、未知のマルウェアにまで対応可能なセキュリティソリューションがNDR(Network Detection and Response)だ。NDRを導入することで、外部からの攻撃への対策となるだけでなく、従業員による内部からの意図的な情報漏えいなども検出可能なため、内部不正の抑制につながる。
そして、EDRとNDRを統合しより広範囲を常時監視して検知を行うのがXDR(eXtended Detection and Response)だ。XDRでは複数のレイヤーを統合的に管理することで、企業全体のリスク要因を監視、可視化する。単独のセキュリティソリューションでは検知が困難とされる高度なサイバー攻撃を可視化することで、迅速かつ効率的な防御や対策が可能となるのだ。
XDRはサーバー、メール、エンドポイント、ネットワークなど、さまざまなレイヤーのデータを収集し、相関分析を行うことで、従来よりも迅速かつ効率的に脅威の優先度を見極め、対応を進めることができる。また、エンドポイントやネットワークなどのログを1つのコンソールで確認でき、全体の状況をスムーズに把握できることから、セキュリティ対策を集約し、1ヶ所で管理できるようになるのがXDRの最大のメリットだ。
統合的に管理することで、検知能力の向上に加え、早期対応が可能となる。その結果、仮に脅威の侵入を許した場合でも、速やかな復旧で被害を最小限に抑制できるのだ。また、先述のEDRと同様に、EPPとXDRを組み合わせることでより包括的なセキュリティ対策となり得る。
EDR、XDRといったソリューションの運用代行を担うアウトソーシングサービスとしてMDR(Managed Detection and Response)があるが、MDRにはEPPのソリューションやフルディスク暗号化など、ストレージの保護機能まで提供するサービスも存在する。アウトソーシングサービスでは、専任のセキュリティ担当者がフォローアップするため、より安全性は高まるだろう。
キヤノンMJが提供するMDRサービス「ESET PROTECT MDR」はこちら。
包括的なエンドポイント対策による事前防御に加え、XDRによる事後対策と運用・支援サービスまでをワンストップで提供します。
※「MDR選定ガイド」もご活用ください。
ランサムウェア攻撃をはじめ、攻撃手法の高度化・巧妙化が著しい時代において、どのような企業でも狙われる可能性が年々高まっている。こうした「魔の手」が着実に迫りつつあることを現実として受け止め、対策に乗り出すことは急務とも言えるのではないだろうか。
被害を受けた際に事業が停止してしまうと、経営にも大きな影響を与え、場合によっては致命傷になりかねない。企業の事業継続性を堅持するためにも、エンドポイントセキュリティの「次の一手」として、EDRやXDR、そしてMDRなど新たなセキュリティソリューションの利用も検討してみてほしい。
