近年セキュリティ対策として注目を浴びているEDR。EDRがなぜ必要なのか、どんな機能があるのか、何を見て選べばいいのかに焦点を当ててみました。
なぜ今EDRなのか
なぜ昨今EDRが注目されているのか、なぜ必要と言われているのでしょうか。
・サイバー攻撃の増大
ダークウェブ上ではマルウェアを簡単に作るツールがやり取りされており、一般の人でも容易にマルウェアを作れてしまう状況にあります。また、大規模なハッカー集団が組織的に特定の国や企業を攻撃するなど攻撃の裾野、規模とも大きくなっています。これまでのセキュリティ対策で1日100万件を超える新種マルウェアに完全に対応することはほぼ不可能となっています。
・攻撃の巧妙化・複雑化
近年マルウェアの攻撃は巧妙化・複雑化が急激に進んでいます。システムの脆弱性をついたり、OSの通常の機能を使って侵入することで、被害を増やしていきます。メーカーがまだ対応していない脆弱性をついたり、通常の機能を使うことで攻撃かどうかの判断がつきにくく、気がついたときには感染が広がってしまっているということもあります。
・テレワークの普及によるセキュリティリスクの増加
世界的なコロナ禍の影響もあり、テレワークをする企業も多くなっています。しかしこれによりこれまで社内ネットワークなどへのセキュリティ対策で守られていたものが、テレワークによって社外からのネットワーク接続が多くなったことで既存のセキュリティ対策では守れなくなっています。使用している各端末(エンドポイント)で独立して防ぐ必要が出てきました。
EDRと従来の製品との違い
これまでのウイルス対策ソフトで特に問題なかったのに本当にEDRなんか必要なのか、既存のウイルス対策ソフトで十分なのでは?と考える企業も依然として多いかと思います。EDRと従来製品は何が違うのか、その違いについてまとめました。
・EDRとEPP
EPP(Endpoint Protection Pratform)は、ウイルス定義ファイルで駆除すべき脅威を登録し、それにマッチするものを入り口で防ごうとするものです。ウイルス定義されている脅威は防ぐことができますが、昨今大量に発生している被害はファイルレスマルウェアというウイルス定義されていないマルウェアの攻撃によるものがほとんどです。EPPでは入り口で防ぎきることでウイルスは侵入しないことを目的としているため、通過してしまった脅威については対策のしようがありません。そこで考え出されたのがEDR(Endpoint Detect and Responce)です。EDRのコンセプトはウイルスの侵入を防ぎ切ることができないなら、侵入したウイルスが本当に悪意のある行動をした際に、それを検知して対応することで被害を最小限に抑えることです。侵入することを前提とする考え方に抵抗がある場合もあるでしょうが、100%確実に防ぎ切ることが不可能になっているファイルレスマルウェアへの対策を考えることは、これからのセキュリティには必須の考え方といえます。
EDRの主な機能
EDRの目的が分かったところで、実際にどのような機能があるのでしょうか。
・検知・防御・復旧・調査という包括的な対応
EDRは脅威の検知と防御という基本的な機能の他に、ウイルスが起こした行動を影響がなかった状態に戻す復旧機能、さらに復旧後どのような経路で侵入したのか、どこまで侵入され、本当に被害がなかったのかを調査する、という包括的な対応ができます。またEDR製品によっては最近大きな被害を出しているランサムウェアの攻撃に対しても元の状態に戻すロールバックという機能を持っているものもあります。
・全エンドポイントのログの監視・記録
EDRはエンドポイント内のすべての状況を監視し、少しでも怪しい動きを見つけたら即対応します。また監視状況をログとして保存することで、ウイルスなどがどのような攻撃をしていたか、どのように防いでいるかを確認することができます。
・対応方法の提案
実際にウイルスからの攻撃があった際に、どのような対応を取るべきかを提案できるのもEDRの強みです。製品によってはインシデントを正確に分類しパターン化することで、これまで高い知識を持ったSOCでなければ行えなかった分析と対応方法の提案を分かりやすく提示できるものもあります。
EDRの導入メリット
企業がEDRを導入するメリットは何なのでしょうか。
・インシデント対応のコスト削減(監視に対するSOCなど人的リソースが不要)
これまでインシデントに対する高度な分析や対応は、高いノウハウをもったSOCが常駐しておこなっており、金額的にも大変高価なものでした。また、そのありがたみが分かるのは被害にあったときのみなので、企業側がその投資に見合うかどうか二の足を踏むことも多くありました。EDRであれば複雑化した攻撃に対して、SOCに準ずるレベルのセキュリティ対策を安価に導入することができます。
・マルウェアなどの侵入経路・被害の範囲を特定できる
これまでのウイルス対策ソフトでは入り口で駆除したものはそれで完了しており、それ以上検証することはほとんどありませんでした。そのため仮に被害にあってもその後どうすればよいかを考えるのは別ものとなり、何が根本的な原因だったのかが分からず、同じようなインシデントがまた発生してしまうこともありました。EDRではインシデントにならないまでもどのような攻撃を受けているか、どのような経路で攻撃を受けているか調査できるため、対策が立てやすいといえます。また仮に被害にあった場合、その原因の特定をしやすいので、より安全性を高める方法をとることができます。
・被害を最小限に抑える(BCP的見地、被害に関する金銭的影響)
EUでは個人情報に関するインシデントが発生した際、72時間以内に調査し被害状況や講じた対策の報告をすることが義務付けられ、基準を満たさない企業には莫大な制裁金が課せられることもあります。EDRは記録したログを元に詳細な分析が可能であり、製品によっては仮にインシデントが発生しても非常に短い時間で元の状態に戻すことができ、調査・報告も可能になっているものもあります。
EDR製品を選ぶポイント
EDR製品を扱うメーカーが増えてきましたが、どのような点に注意して選べばいいのでしょうか。選ぶ際に確認すべきポイントをまとめました。
1.AIによる振る舞い検知
EDRの特徴として挙げられる振る舞い検知は、AIを使うことが多いです。近年の非常に複雑化した脅威を正確に判別するには専門的な知識が必要でしたが、AIを使うことで人間が判断するよりも素早く確実に検知が行える事が多いです。できれば複数のAIエンジンを使って多角的に監視している製品を選ぶべきでしょう。
2.単一のアプリケーションでどこまで対応しているか
たくさんのメーカーでEDR機能を持ったアプリケーションが発売されていますが、多くのメーカーではこれまでのEPPタイプのアプリケーションのオプションとしてEDR機能を追加する形で提供しています。またその多くは既存の製品に他のメーカーの機能を上乗せする形で連携しており、製品によっては役割分担の連携が不完全なものもあります。EDRは対応の速さが肝になるため、できるだけ単一のアプリケーション内で必要な全ての機能が完結できる物が望ましいと言えます。
3.自動ロールバック
ランサムウェアに感染するとファイルが暗号化されるなど復旧が容易でないため、業務に与える影響も甚大なものになります。自動ロールバックはポリシーとして設定しておくことで、悪意のあるプログラムが動き始めた瞬間にそのプログラムを停止し、仮に一部のファイルが暗号化されても自動的に元の状態に戻すことができます。製品によっては感染したファイルは削除・隔離されてしまい元に戻らないものもあります。極力ファイルに影響を与えない復旧を自動的にしてくれる製品を選ぶべきです。
4.脅威データベースとMITRE ATT&CK
製品によって独自の脅威データベースを持っているので表向き差が分かりにくく判断がつきにくい場合があります。サイバーセキュリティに関するあらゆる敵対的攻撃の戦術やテクニックについて分類・体系化したフレームワークであるMITRE ATT&CKは、多くのセキュリティ製品がその情報を参照しています。MITRE ATT&CKに連携した脅威データベースや対応が実装されているかどうかもEDR製品を選ぶ上で重要といえます。
5.システム環境(OS、クラウド/オンプレミスなど)
EDR製品によって使用できるシステム環境が異なるため、導入する環境で使用できるかを確認する必要があります。最近のEDR製品はクラウドで管理するものが多いです。最新のバージョンをすぐに反映できるなど便利な点が多いですが、社内サーバなどオンプレミス端末の場合、製品によっては防御性能が落ちる場合もあります。
6.デメリットも考える
巧妙化・複雑化する攻撃に対応するために有効なEDRですが、これまでのウイルス対策ソフトに比べてデメリットもあります。これまでのウイルス対策ソフトの場合、導入後はほぼ何もしなくてもよかったのですがEDRでは検知した脅威に対する対応を考えて判断する必要があり、その分手間がかかります。Windowsの標準プログラムを悪用した攻撃など正常な動きとの区別が非常に難しい攻撃もあるため、これまでよりも対応に手間がかかるのはある程度仕方ない面もありますが、EDR製品によってはほとんどの処理をポリシー設定で自動化したり、取るべき対応をサジェストしてくれることで、専門知識がなくても判断しやすい製品もあります。
おすすめの製品はこちら
これまでの説明でEDR製品を選ぶ際、どのようなポイントに気をつけるべきかがおわかりいただけたかと思います。これらを踏まえた上で、今私の一番おすすめのEDR製品をご紹介します。
Sentinel One(センチネルワン)
センチネルワン社はイスラエル発で、現在アメリカに本社を置く企業です。
基本設計からAIによる自動化とリアルタイムでの脅威検知と防御を重視しており、
今年2021年、アメリカ ニューヨーク証券取引所に上場しています。日本ではまだあまり知られていませんが、顧客は現時点で80カ国以上、4,700社以上にのぼっています。
EDRの機能としては、単一エージェントで防御をおこなうため、検知・対応・分析が即時実行できます。最も基本の構成である「Sentinel One Core」だけでEDRとしての機能が一通り実装されていて、他のEDR製品のようにオプション製品を追加購入する必要がありません。さらに深い分析が必要な場合には上位のライセンスを購入することで、フォレンジック機能を強化することもできます。ほとんどの脅威はポリシー設定により自動的かつ即時対応・処理することができ、ユーザーが実際に判断したり対処する状況を極力減らしてくれます。またMITRE AT&CKに連携した詳細な脅威分類がされており、インシデント対応に習熟していないユーザーにも理解しやすいよう情報を自動的に整理してくれます。このため本来SOCなど極めて詳しいスキルを持ったスタッフを常駐させなくてはならないセキュリティ対応を一般的な情シスレベルでも対応可能にしています。また特許を取得しているStoryLineという技術で、インシデントの発生から攻撃経路を記録し、被害にあったファイルのみを感染前の状態に戻すことができるロールバック機能も備えています。”
最後に
EDRは既存のセキュリティソフトでは対応しきれないファイルレスマルウェアやランサムウェアなどの危険な攻撃に対応するためには必要不可欠な製品です。すでに多くの製品が販売され始め、機能もどんどん進化しています。EDRの機能と特性を理解してより安全なセキュリティ対策を進めていきましょう。