サイバーセキュリティはどのようにしてEDRに到達したのか?

サイバーセキュリティの歴史はマルウェアとの戦いの歴史です。その歴史の中で、今日、主流となったEDR(Endpoint Detection and Response)はどのようにして生まれたのでしょうか? EDRをめぐる経緯について見てみたいと思います。

パーソナルコンピューターに感染した世界で最初のウイルスは1982年、アップルのApple IIに感染したElk Cloner(エルククローナ―)だと言われています。これはシリコンバレーの起業家、リッチ・スクレンタ(Rich Skrenta)が高校生の時に友達を驚かせることを目的に作成したもので、フロッピィーディスクを介して感染し、Apple IIの画面に感染を告げるメッセージが表示されるものでした。4年後の1986年にはBrain virus(ブレイン ウイルス)がアメリカで発見されメディアが大きくとりあげました。このウイルスはBrain Computer Servicesという会社を経営していたパキスタン人兄弟が、プログラムが不正にコピーされることへの対抗手段として作成したものでした。

このように初期のコンピューターウイルスは必ずしも悪意を目的としたものではありませんでしたが、次第にデータの搾取や破壊など不正行為を目的としたプログラムが出現するようになり、悪意のあるプログラムを総称してマルウェアと呼ぶようになりました。正当なプログラムを装ってコンピューターに侵入するトロイの木馬型や自己増殖するワ―ムなどさまざまなタイプのマルウェアがコンピューターを脅かすようになります。2000年に世界を席巻したILOVEYOUは、「I love you」というタイトルのついたメールに添付されたファイルを開封することで感染し、システムファイルと個人ファイルを上書きしてしまう悪質なものでした。2003年に出現したワーム、Slammer(スラマー)はインターネットに接続しているサーバーに感染し、金融機関のATMなどに障害をもたらしました。マルウェアの普及とともにデータの搾取や不正送金など様々なサイバー犯罪が起きるようになりました。

攻撃手法も洗練された高度なものへと変貌していきます。APT(Advanced Persistent Threat)攻撃は長期間にわたりターゲットを監視、分析しつつ攻撃する手法で、具体的な被害が発生するまでコンピューターの感染がわからない、あるいは被害実態さえもわからないまま被害を受けているケースもあります。昨今注目されているWannaCryなどのランサムウェアは、コンピューター内部のデータを「人質」にして金銭を要求するもので、データの価値が高ければ高いほど被害者が要求に応じてしまう恐れがあります。こうした高度なサイバー攻撃の背景には、犯罪シンジケートなどの組織、さらに国家関与もあるとみられています。様々な人や組織が、それぞれの目的でコンピューターを攻撃する手法やプログラムを開発し、日々、新たな攻撃が行われているのが今日のサイバー空間の現状なのです。

サイバーセキュリティは、こうした攻撃からコンピューターやネットワーク社会を守るために構築されてきたテクノロジーです。最初に構築されたサイバーセキュリティのテクノロジーは、コンピューターの中にファイアウオール(防火壁)を作って、不審な通信をブロックしてしまおうというものでした。基本的にコンピューターの中に組み込まれているシステムです。しかし、ファイアウオールは基本的なセキュリティのため、偽装された通信は制御できないなど限界がありました。そこで登場したのがコンピューターウイルスの感染を検出し、ウイルスを除去してくれるアンチウイルスソフトです。マカフィー創業者のジョン・マカフィーは自らのコンピューターがBrain virusに感染したことを契機にウイルス対策ソフトの研究に乗り出し、1987年にマカフィーを創業してアンチウイルススソフトの配布を始めました。その後、多くのウイルス対策ソフトのベンダーが誕生し、アンチウイルスソフトの開発が行われるようになりました。

アンチウイルスソフトがコンピューターウイルスを検出するには、ウイルスの詳細を知っていなければ検出することができません。そのためベンダーは、日々ウイルスを研究し、ウイルスのデータを常にアップデートして検出しています。一方、ウイルスの開発者たちはアンチウイルスソフトに検出されないよう、あの手この手でプログラムを開発しています。結果、アンチウイルスソフトのベンダーとウイルスの開発者たちはイタチごっこを繰り広げてきたのです。既知のウイルスに対してアンチウイルスソフトは有効ですが、未知のウイルスに対しては無力で、未知のマルウェアのデータを解析し検出が可能になるころには次なる未知のウイルスが登場するといった具合です。

こうした状況に対し新しいサイバーセキュリティの手法が唱えられ始めました。それがEDR(Endpoint Detection and Response)です。言葉通りに言えばエンドポイントつまりネットワークの機器や端末を探知して反応するという考え方で、アメリカの調査会社、ガートナーのシニアアナリスト、Anton Chuvakinが最初に定義したとされています。従来のアンチウイルスソフトと何が違うのかというと、仮にコンピューターを人間の体に例えると、アンチウイルスソフトはインフルエンザや、新型コロナウイルス感染症など出回っているウイルスの感染の有無を検査するものですが、EDRは体温や血圧、脈拍、脳波、内臓機能など体の状態をすみずみまで検査する健康診断のようなものです。コンピューターの状態を常時、監視してデータを収集し、わずかな異常に対しても反応し分析し対処することで、未知のマルウェアによる攻撃を早期に発見し対処します。今日のサイバーセキュリティはEDRにもとづいたセキュリティが主流です。マルウェアを取り巻く状況がかつてと比べて大きく変化している中、その変化に合わせてサイバーセキュリティのテクノロジーもEDRへと変貌してきたと言えます。次回はEDRの優位性について見ていきたいと思います。

セキュリティ対策に行き着いた理由
最新情報をチェックしよう!