EDR／XDR導入および運用の課題

企業経営者の視点では、あらゆる投資に必ずリターンを求めるものであるが、セキュリティソリューションは情報資産を保護するのが目的であり、直接的な利益をもたらすわけではない。そのため、コストを抑えつつ、セキュリティレベルを維持しようとする企業が必然的に多くなる。また、セキュリティソリューションは初期投資だけでなく、運用コストも考慮しなければならない。特に中小企業においては、運転資金の確保が優先されるため、コストパフォーマンスを重視する傾向が強い。さらに、セキュリティ意識の高い企業であっても、人材不足やスキル不足といった課題に直面するケースは多い（図1）。

図1：EDR／XDR導入および運用フェーズでの課題

多くの企業に共通する課題に対する解決策

多くの企業に共通する課題として、「人材不足」「スキル不足」「高い運用コスト」の3点が挙げられる。ESETセキュリティソリューションシリーズ（以下、ESET）によって、これらの課題をどのように解決できるのかについて解説する。

ESETが有する特長は、高い検知率と低い誤検知率だ。特に、低い誤検知率を示すものとして、第三者機関による評価の高さがある。例えば、AV Comparativesビジネスセキュリティテストの調査によると、ESETは誤検知率0.2%を示しており、他社と比較しても非常に低い値となっている。誤検知率の低さは運用において大変重要であり、先述した人材不足やスキル不足を補う要素の1つとなる（図2）。

図2：第三者機関による高い評価

ESETが高精度の検知を実現している理由として、ESETの製品コンセプトが挙げられる。現在、XDR（Extended Detection and Response）への需要が高まっているが、ESETはEPP（エンドポイント保護）技術を活用し、XDRをシームレスに統合している。これにより、防御、検知、対応を1つのプラットフォームで実現できる。このプラットフォームは、単なる防御にとどまらず、サイバー攻撃のコンテキスト（脅威の文脈や背景情報）を把握し、適切なレスポンスを提供することができる。その中核技術が「ESET LiveSense」と呼ばれる多層防御システムだ（図3）。

図3：ESET LiveSenseの製品コンセプト

ESET LiveSenseは、独自に開発した複数の防御技術が連携し、サイバー脅威の防御、検知、対応を実施するシングルエージェントの仕組みを持つ。未知の脅威を検知するNGAV（次世代アンチウイルス）技術、暗号化されたファイルを自動復旧するランサムウェア修復、ネットワーク保護機能などを統合して提供する。ESETは、30年以上にわたるセキュリティ専門知識、AI技術、クラウドベースのレピュテーションシステムを統合し、多層防御の効果を最大化している（図4）。

図4：ESET LiveSenseに統合された技術

多層防御が必要とされる理由

単一の防御レイヤーでは対応しきれない近年の脅威に対抗するため、多層的なアプローチが求められている。ESET LiveSenseは、脅威のライフサイクルの各段階で検出およびブロックを行う複数の技術を活用している。多様な脅威と攻撃パターンに対応するため多層防御システムとXDRをシームレスに統合し、より高度な防御を実現する（図5）。

図5：ESETセキュリティソリューションシリーズにおける多層防御

次に、ファイルレス攻撃を例にESETソリューションの仕組みを解説する。ファイルレス攻撃では最終的にPowerShellを実行して攻撃を試みる。ESETでは、XDRの有無にかかわらず、攻撃地点でブロックできる。加えて、XDRが統合されているため、攻撃のコンテキストを追跡することが可能となる（図6）。

図6：XDRが統合されたソリューションの利点

コンテキストを追跡できる利点として、インシデント対応において根本原因を特定できる点が挙げられる。例えば、ユーザーが受信したメールに添付されたExcelファイルを開いたことが攻撃の起点であると判明するといったケースが考えられる。この場合、技術的なセキュリティ対策に加え、従業員教育を実施することでセキュリティレベルを向上できる。

ESETはEPPにXDRをシームレスに統合することにより、インシデントを検知した際に攻撃そのものをブロックして実害を最小限に抑える。EPPでブロックされた脅威もXDRの管理対象として扱われるため、より包括的なセキュリティ対策が実現できる。

ESET社が擁する専門家の知見

ESET社は、EU加盟国であるスロバキアを拠点とし、世界各地にリサーチセンターを展開している。これにより、北米中心の視点に偏ることなく、中立的な立場から各地域の脅威を迅速に検出している。また、ESET社の研究者は世界中でAPT（標的に対し、継続的に攻撃を仕掛ける種類のサイバー攻撃）グループの活動を継続的に監視し、最新の脅威情報を収集、分析している（図7）。

その成果の1つとして、ESETはブログを通して脅威インテリジェンスの情報や教育コンテンツ、サイバー攻撃から身を守るためのヒントを公開している。サイバー攻撃のトレンドや具体的な対策が定期的に更新されているため、ユーザーはセキュリティ強化に関する有益な情報を得ることができる。

図7：ESET社の拠点とR&Dセンター

さらに、ESET社は定期的に脅威レポートを発行し、独自かつ中立的な視点からサイバー空間の動向やAPT活動を報告している。これにより、企業だけでなく個人も最新の脅威を把握し、適切な対策を講じることが可能となる。

最近の事例として、EDRを無効化する攻撃を確認し、それに関与した比較的新しいAPTグループに関する情報を公開した。このように、脅威インテリジェンスを活用することで、EDRソリューションを通じてより迅速で効果的なセキュリティ強化に貢献している。

EPPにおける未知の脅威に対応する技術として、NGAVと呼ばれる検出技術がある。これは、機械学習などを用いてマルウェアの特徴やふるまいを分析し、未知の脅威を検出する技術である。ESETでは、この技術を20年以上前から導入し、新たな学習データを活用して機械学習モデルのチューニングを継続的に行っている（図8）。

図8：ESETにおけるAI活用の変遷

XDRにおいても、AIを活用してデータの相関分析を行うことで、重要度の高いインシデントを検出する技術を搭載している。さらに、最近話題となっているLLM（大規模言語モデル）を製品に組み込み、インシデントに対して対話形式でユーザーをサポートする機能も提供している。

クラウド型セキュリティ管理ツール「ESET PROTECT」

ESETは、優れたUXによってセキュリティオペレーションのコストを削減しながら、効果的なセキュリティ対策を提供できる。これらを実現するクラウド型セキュリティ管理ツール「ESET PROTECT」について解説する。

ESET PROTECTは、単一のプラットフォームを通じてセキュリティツールとセキュリティサービスを提供するSaaSソリューションだ。ESET PROTECTには、エンドポイントセキュリティやXDRに加え、脆弱性とパッチ管理の機能、Microsoft 365やGoogle Workspace向けのセキュリティ機能、モバイルセキュリティなどが含まれている。また、セキュリティサービスもESET PROTECTを通じてユーザーに提供している（図9）。

図9：クラウド型セキュリティ管理ツールの概要

ESET PROTECTのユーザーインターフェースは、直感的でわかりやすい設計となっている。XDRを含むコンソールはすべて日本語化されており、単一のプラットフォームでエンドポイント、サーバー、モバイルを管理することができる。さらに、XDRを含む包括的なソリューションが提供されている（図10）。

最新の脅威情報に基づき、迅速に攻撃を検出し、その検出結果はリアルタイムでコンソールに表示される。ESET PROTECTは、小規模環境から大規模環境まで、さまざまなニーズに対応している。また、先述したセキュリティソリューションやXDR、MDRなどのサービスも、すべてこの単一のプラットフォームで提供されている。

図10：ESET PROTECTのユーザーインターフェース

管理コンソールに含まれるダッシュボード機能は、自社のセキュリティポリシーや要件に応じて柔軟に編集できる。頻繁に確認する項目を1つのダッシュボードに集約することも可能だ（図11）。

図11：ESET PROTECTの管理コンソール

ESET PROTECTによるセキュリティの自動化

ESETはセキュリティ運用の自動化にも注力しており、そのユースケースは多岐にわたる。簡単な例を挙げると、マルウェアを検出した際、まずネットワークから端末を切り離し、フルスキャンを実行するという一連のワークフローが定義されている。

事前にワークフローを定義しておけば、インシデントが発生した際に自動的に実行できる。加えて、特定のイベントが発生した際に、あらかじめ指定したプロセスを停止する、あるいはコマンドを実行する、といったセキュリティタスクの自動化が実現可能である（図12）。

図12：インシデントレスポンスワークフローの自動化

ESETは、ITオペレーションの自動化にも活用できる。企業内で共通のITポリシーが策定されている場合や、海外支社などで異なるセキュリティポリシーを適用している場合もある。その際、端末が接続されている場所によって割り当てられるIPアドレスが異なってくるため、ESETではIPアドレスを確認し、適切なセキュリティポリシーを動的に適用することができる（図13）。

図13：ITオペレーションの自動化

ESETは、プリベンションファーストのアプローチにより、脅威と判断したものを早期にブロックし、攻撃者の目的達成を阻止できる。これにより、EDRのスコープを狭めるだけでなく、自動化機能との組み合わせにより、セキュリティオペレーションの効率化を実現している。

ESET社の調査では、30日以内に1回以上コンソールにログインしたユーザーの割合が41%に過ぎないという結果が報告された。つまり、半数以上のユーザーはほとんどコンソールにアクセスせずとも運用管理作業を遂行できていることを示唆している。

ESETは、エンドポイントセキュリティにとどまらず、現代のセキュリティ課題を解決するために多様なソリューションを提供している。例えば、未知の脅威に対する対策としてクラウドサンドボックス「ESET LiveGuard Advanced」が挙げられる。また、万一、ランサムウェアに感染した場合でも、自動的に復旧する機能を備えている。さらに、脆弱性を検知するだけでなく、パッチ管理の自動化も可能である（図14）。

図14：ESETのオールインワンソリューション

ゼロデイ攻撃に対する防御方法として、クラウドサンドボックスが採用されている。一般的なマルウェア解析のプロセスでは、マルウェアのメタデータを分析する「静的解析」と、マルウェアを実際に動かして挙動を確認する「動的解析」があるが、クラウドサンドボックスは動的解析に活用される。

ESETのクラウドサンドボックスは、ローカル環境でグレーと判定されたものを、クラウド環境で徹底的に解析する。これにより、ローカル端末では検出が困難な脅威も特定できる。また、99%以上のマルウェアについては、5分以内に解析結果が表示される。解析中も端末のワークロードを中断せずに脅威の検出が可能だ。さらに、詳細なレポートが提供され、脅威と判定された理由を確認できる。ネットワークの状況、プロセス、APIログなども表示し、攻撃者の意図を把握できるようサポートする（図15）。

図15：ESETのクラウドサンドボックス

脆弱性管理の一般的なサイクルは、まず脆弱性の発見から始まる。脆弱性は日々新たに発見されるため、継続的なトラッキングが必要だ。また、自社に関係する脆弱性かどうかを確認する作業も求められ、一般的にオペレーションコストの高い業務となっている。さらに、脆弱性を検知した場合には、パッチ適用の作業が発生し、これを継続的に実施する必要がある。

ESETの脆弱性・パッチ管理は、マルチプラットフォームに対応しており、脆弱性データベースは毎週更新され、常に最新の情報が反映されている。脆弱性スキャンは、手動によるオンデマンド実行も可能だが、毎日実行されるスキャンとパッチ適用の自動化機能が備わっている。さらに、ダッシュボードでは脆弱性のリスクスコアが表示され、リスクマネジメントにおいて優先順位を決定するための情報を得ることができる（図16）。

図16：ESETの脆弱性・パッチ管理

近年、ランサムウェアの被害が増加する中で、その対策に悩む企業も少なくない。BCP（事業継続計画）を策定する際には、バックアップの整合性や有効性も重要となる。ESETは、クラウドサンドボックスや多層防御システムを活用し、ランサムウェアの侵入を阻止する。仮にランサムウェアが侵入してしまった場合でも、自動的に修復する機能を有している。

ランサムウェア対応は一般的にシャドウコピーなどのバックアップソリューションを用いるケースが多い。しかし、近年のランサムウェアは、バックアップ自体を暗号化したり削除したりすることで、復旧を困難にするケースがある。ESETはサードパーティの技術に依存せず、不審なプロセスによる暗号化が発生した際に自動でバックアップを作成し、復旧する機能を備えている（図17）。

図17：ESETのランサムウェア修復機能

ESETは高い防御力を備えているが、それでもMDRは必要となる。頻繁に報じられる情報セキュリティの重大脅威について、内部不正を除けば、サプライチェーンの脆弱性を狙った攻撃や標的型攻撃、脆弱性を悪用した攻撃など、多くの共通点がある。特に、近年のランサムウェアは、従来のばらまき型攻撃ではなく、侵入型攻撃が主流となっている。

攻撃者はまずシステムに侵入し、その後、環境内の偵察や横展開といった一連のオペレーションを実行する。このプロセスでは、必ずしも悪意のあるツールが使用されるわけではなく、正規のツールが用いられることも多いため、通常のログを見ても攻撃かどうかの判別が難しくなっている（図18）。

図18：多様化するサイバー攻撃に必要なセキュリティ対策

ESETが提供するMDRの場合、単なるマルウェア検出ではなく、攻撃のコンテキストを分析し、ESETの脅威インテリジェンス情報と照合することで、特定のAPTグループによる攻撃パターンと一致するかどうかを判定できる。APTグループによる攻撃の可能性があると判断した際は、クリティカルなマルウェアの駆除を完了し、端末をネットワークから切り離した上でユーザーに通知する（図19）。

図19：ESET MDRの検知例

監視サービス型XDRソリューション「ESET PROTECT MDR」の紹介

ESETが提供する監視サービス型XDRソリューション「ESET PROTECT MDR」は、ツールと監視運用サービスをワンストップで提供する。エンドポイント保護プログラム（EPP）からXDRツールまで、一連のセキュリティツールを、統合されたプラットフォーム上から管理できる。また、セキュリティエンジニアが24時間365日体制で運用とユーザーへの支援を行っている（図20）。

図20：ESET PROTECT MDRの概要

多くの場合、XDR導入時には初期設定や最適化（チューニング）に多くのオペレーションコストを要するという課題があるが、ESETでは、これらの課題についても支援するサービスを提供している。また、セキュリティエンジニアが脅威ハンティングやモニタリングを行い、継続的な監視、初動対応、緊急連絡などのサービスを提供する。加えて、デプロイメントやアップグレードの支援も行い、インストールやバージョンアップ作業を100ユニット単位でサポートすることも可能だ。さらにプレミアムサポートでは、日本国内の日本語ネイティブのエンジニアが24時間365日体制でサポートを提供し、安心の体制を整えている（図21）。

図21：ESET PROTECT MDRで提供されるセキュリティサービス

ESET PROTECT MDRには、3つの大きな特長がある。1つ目は高い検出率と低い誤検知率、2つ目は24時間365日体制での日本語対応サポート、3つ目はインシデント発生時の対応までAIやセキュリティエンジニアが支援するフルサービスで提供できる点である。

一般的なEDRは2階層のブロック構造になっており、1階層目の自動処理としてNGAVが脅威をブロックする。そして、NGAVをすり抜けた脅威については、DR（Detection & Response）機能で検知と対応が必要となる。一方、ESETの仕組みでは、機械学習／ふるまい検知の機能の上に、パターンマッチングによるブロックという階層が追加されている。ESETのエンドポイント保護プログラムは、従来のパターンマッチングとNGAVの両方の機能を備えているため、より多くの脅威を自動処理でブロックできる。その結果、DR機能による対応が必要なケースを抑制できる。これにより、重大度の高い事象を優先的に扱えるため、迅速な対応が可能となる（図22）。

図22：ESET PROTECT MDRにおける自動処理の仕組み

エンドポイント保護プログラム（EPP）とXDRツールを別々のソリューションとして導入した場合、感染が発生した際にはエンドポイントの管理ツールとXDRの管理ツールの両方を確認する必要があり、運用が煩雑になるケースがある。また、ユーザー側でシステム統合を進めるケースもあるが、その際には連携設定が必要となる。ESET製品はEPPとXDRを統合していることで、運用の効率化や管理の簡素化といったメリットが得られる（図23）。

図23：ESET PROTECT MDRにおける包括的な監視サービス

運用体制としては、ESET社とキヤノンMJグループが、24時間・365日、いつでも国内拠点で日本語対応するサービス体制なので、いざというときにも安心して問い合わせができる。また、キヤノンMJは、「日経コンピュータ 顧客満足度調査 2024-2025 セキュリティー対策製品部門」で1位となり、今回で12年連続No.1の評価をしていただいている。長年の経験と実績を持つ部門が対応するため、ユーザー企業は安心して利用できる（図24）。

図24：ESET PROTECT MDRのサポート体制

ESET PROTECT MDRのフルサービスメニューでは、ユーザーの作業負担は非常に少なく、平時においては定期レポートの確認と状況の把握、ならびに社内の改善活動が主な業務となる。一方、セキュリティエンジニアは平時から24時間365日体制で監視を行い、脅威ハンティングや定期レポートの提出を担当する。

比較的重大度が低いケースでは、事象発生時にセキュリティエンジニアが発生内容を確認し、ユーザーへメールでの報告と初動対応を行う。そして、重大度が高いケースでは、セキュリティエンジニアが発生内容を確認した後、電話での報告と初動対応を行う。事象の内容に応じて、ユーザーの判断を受けた上で対応を進める（図25）。

図25：ESET PROTECT MDRの状況に応じた運用レベル

例えば、夜間22時に重大なインシデントが発生した場合でも、セキュリティエンジニアが主体的に対応を進めるため、ユーザーの体制が手薄な時間帯においても安心できる。検知された脅威はセキュリティエンジニアが確認し、ユーザーと情報共有した上で、隔離や除去の対応を実施する。対応完了後は、ユーザーへ報告し、後日具体的なレポートも提出する。

フルサービスメニューでは、運用開始時の初期最適化レポート、運用時の脅威モニタリングレポートなど、あらかじめ設定されたタイミングでレポートが発行される。また、サービス利用時にはフォレンジックやファイル解析のレポートも提供される。ユーザーは、こうしたレポートを通して、今後の対策強化や社内担当者への専門教育にも活用することができる。

おわりに

ESET PROTECT MDR は、EPPとXDRが1ブランドで提供され、監視サービスやインシデントレスポンスも手厚く支援する。アウトソースによってユーザーの運用課題を解消し、セキュリティオペレーションの負担を軽減できる。導入事例も公開されているため、ぜひ参考にしてほしい。自治体向けソリューションを提供する従業員2,000名規模の企業においては、社内のシステム部門だけでは監視体制の確立が難しいという課題を抱えていた。ESET PROTECT MDRの導入により、人材不足の課題を解決に導くことができた。

ESET PROTECT MDR では、導入フェーズだけでなく運用フェーズにおいても高い費用対効果を発揮し、セキュリティの運用コストの削減と自動化を実現する。冒頭で言及した人材不足やスキル不足の解消、運用コストの抑止といった課題に対して有効である。MDRやXDRの導入を検討する際は、ESETを選択肢の1つに加えてほしい（図26）。

図26：トータルセキュリティプラットフォームの有効性