EDR は、エンドポイントにおけるサイバーセキュリティを強化するためのソリューションです。クラウド、テレワーク、ゼロトラストセキュリティといった時代に求められるセキュリティ対策です。
この記事では、ウイルス対策ソフトでは防ぎきれないマルウェアなどのセキュリティ対策が可能な EDR 製品についてわかりやすく紹介します。EDR の4つの機能・EPP との違い・効果・選び方について、解説しているので社内のセキュリティを高めるために役立ててください。
EDR とは?
EDR は「Endpoint Detection and Response」を略した言葉です。2013年に Gartner が提唱した EDR は、Detection(検知)、Response(応答)という言葉通りサイバー攻撃を受けた後の対処に主眼を置いたセキュリティ対策です。ここでは、EDR とは何かについて概要を解説します。
EDR の仕組み
エンドポイントとは、IT 分野において、ネットワークに接続している末端の機器にあたる、パソコンやタブレット、サーバーなどを指します。EDR は、エンドポイントにおけるセキュリティを強化するためのソリューションです。従来のアンチウイルスと呼ばれてきたエンドポイントセキュリティ対策は脅威の侵入を防ぐことが目的でした。一方、EDR は侵入を前提としたセキュリティ対策です。EDR は、エージェントと呼ばれるソフトウェアをエンドポイントにインストールし、エンドポイントのプロセス、校正、ネットワーク接続、ファイルやデータのダウンロードを含むデータを継続的に収集します。このデータから、サイバー攻撃が侵入した後のマルウェアの不正な挙動だけでなく、攻撃者の行動、攻撃に使った痕跡(ログ)などを分析してサイバー攻撃を検知・発見します。サイバー攻撃を検出した場合は、EDR から迅速な対処を行うことで被害が拡大する前に早期に攻撃を食い止めるソリューションです。EDR 製品は、エンドポイントにおける動作を常時監視し、サイバー攻撃からの被害を最小限に抑えます。
EPP(ウイルス対策ソフトウェア)や NGAV との違い
EPP は「Endpoint Protection Platform」、NGAV は「Next Generation Antivirus(次世代アンチウイルス)」の略語で、ウイルスの侵入・実行を食い止めるウイルス対策ソフトです。EPP は、ウイルス対策ベンダーが発見したマルウェアを解析してシグネチャーと呼ばれるパターンファイルを作成し、ウイルス対策ソフトで合致したマルウェアの実行を防ぐ仕組みを指します。NGAV は EPP の一種で、 AI を使って挙動をベースにマルウェアを判別するセキュリティ対策です。どちらもサイバー攻撃侵入前のマルウェア実行ファイルの検出に焦点があります。しかし、サイバー攻撃がファイルを使用しないで PowerShell など Windows 標準のスクリプトをバックドア経由で利用するファイルレスマルウェアと呼ばれる攻撃や脆弱性を突く攻撃などは、EPP/NGAV の検知をすり抜けてしまうため、EPP/NGAV では防げないサイバー攻撃の活動や侵入施行の検出と対策(封じ込め)を行うのが EDR 製品 です。
EDR の重要な4つの機能
EDR 製品の重要な4つの機能について解説します。
エンドポイントでの攻撃活動の検出機能
前述のように、EDR はエージェントと呼ばれるソフトウェアをエンドポイント端末にインストールし、その端末で行った通信や操作ログを収集・分析監視します。言い換えると、EPP や NGAV をすり抜け、侵入してしまったマルウェアやサイバー攻撃活動を監視します。具体的には、IOA(Iindicator of Attack)と呼ばれる攻撃の痕跡、例えば、添付ファイルからの不審な外部通信、通常プロセスからの不審な子プロセスの生成や、不正な外部通信といった痕跡(挙動)を検出するだけでなく、一連の挙動を攻撃シナリオとして認識し、高い精度で脅威を検出します。EDR がインストールされた全台のエンドポイント端末を監視することで、ネットワーク内での横展開(ラテラルムーブ)や C&C サーバーとの外部通信、情報の持ち出し、侵害の経緯といった行動をリアルタイムに把握できます。
サイバー攻撃の阻止機能
EDR は、エンドポイントにおけるサイバー攻撃や侵害活動の継続を阻止します。侵入したマルウェアによる悪意のある攻撃を検知し、その内容を精査して悪意がある行動と判断したら、セキュリティ管理者は EDR の管理画面からリモートでプロセスやプログラムを強制終了させ、ネットワークから隔離することが可能です。侵入を許した端末の被害を最小限に抑えるだけでなく、端末をネットワークから即時に遮断することで、他の端末への被害も防止します。
リモートフォレンジック機能
フォレンジックとはエンドポイント内の情報を利用して、サイバー攻撃の影響範囲を特定し、侵入経路、侵入目的、情報漏えいの有無・情報漏えいしたものが何かなどを明らかにすることです。調査と情報収集を十分に行うことで、適切な対策が行なえます。EDR 製品はこれをクラウドにある管理サーバーからリモートで実施することができます。
スレットハンティング機能
スレットハンティングとは、そのサイバー攻撃で利用される IOC(攻撃者が使うファイル名やプロセス名など痕跡情報)やアナリストの知見を使って、ネットワーク内にあるエンドポイントを調査することです。IOC はセキュリティ企業のブログや有志のセキュリティ研究者が SNS などで公開している無料のものから、脅威インテリジェンス専門のベンダーから有償で購入するものまでさまざまなものがあります。アナリストの知見とは、複数の攻撃手順を一連の攻撃として定義して合致するものを探して脅威を検出することで、攻撃を定義するには経験が必要です。例えば、自社で使用している OS の脆弱性を突いた攻撃が流行した場合にスレットハンティングを行って、サイバー攻撃者が過去に侵入していないかを調査したり、社内でサイバー攻撃によるインシデントが発生して対処した後に他のエンドポイントでも同様の攻撃で使用されたプロセスなどがないか調査したりします。
サイバー攻撃の脅威と EDR の必要性
サイバー攻撃の脅威と EDR の必要性について解説します。
増大するサイバー攻撃の脅威
サイバー攻撃による脅威は増え続けており、被害に関するニュースは後を絶ちません。デジタルトランスフォーメーションによるデジタル利用の増大によりデジタル資産の価値が高くなっていることから、企業がサイバー攻撃を受ける危険性は高まっています。犯罪者グループが互いに攻撃用ツールを売買したり、入手した企業のシステム情報、認証情報などをダークウェブ上で取引しており、サイバー攻撃のハードルが下がっていることも脅威が増えている一因です。
巧妙化し続けるサイバー攻撃
サイバー攻撃は、巧妙化し続けています。セキュリティ対策を施していても、サイバー攻撃の被害にあうケースは少なくありません。インターネットを使って業務をしている以上、侵入を100%防ぐことはもはや不可能であり、侵入を防ぐことにセキュリティ投資をするよりも、侵入をされた場合に被害を最小にする対策のほうが、投資対効果が高いという認識が主流になってきています。
偽装メールだと気づかずクリックしただけで、侵入を許してしまい結果として社内の情報が流出してしまうなどのインシデントは後を絶ちません。
EDR の活用で得られる効果
EDR の活用で得られる効果について解説します。
EPPでは防げない攻撃を侵入後に検出する
EPP は侵入前の防御で、過去に利用されたマルウェアやそれに似たマルウェアを防ぐため、サイバー攻撃者が同じマルウェアをすでに使っていれば保護することができるので、とても重要なセキュリティ対策です。しかし、未知のマルウェアや既知のマルウェアの亜種を使った攻撃、メモリ上で攻撃を実行するファイルレス攻撃などは多くの場合防ぐことが難しいのです。特に、ランサムウェアグループなどのサイバー攻撃者は、検知を回避する手法やファイルレス攻撃などを駆使して侵入した後、機密情報を盗み出してからシステムを暗号化するため、EPP と組み合わせて EDR を導入することが有効です。
サイバー攻撃からの被害を最小限で防げる
EDR は、サイバー攻撃からの被害を最小限で防ぐことを目的とします。仮に侵入されても被害が大きくなる前に対処する、という柔軟な対処が可能になります。例えば、攻撃者に侵入された後、機密情報を盗まれる前に対処することができれば、局所的な被害で済みます。
マルウェアなどの侵入経路・被害の範囲を特定できる
EDR はサイバー攻撃の侵入経路や被害の範囲を特定できるため、被害状況を可視化するのに役立ちます。EDR がない組織お客様の例として、EPP で検出したマルウェアを駆除し、脆弱性はパッチを当てて侵入経路は塞いだけど、本当に脅威がすべて去ったのかわからず、安全なのかわからないため復旧宣言が出せないということがあります。EDR を使って適切に運用すれば、サイバー攻撃の原因を特定して、ハンティング機能で影響範囲を調査できるため、復旧宣言まで持っていくことが可能です。
※その代わり、運用にある程度の専門スキルが必要になります。この点は後述します。
インシデント発生の原因を明確にできる
EDR では、サイバー攻撃の流れを時系列で調べることができるため、インシデントが発生した際の原因も明確になります。また、侵害でログがなくなってしまっていても原因の特定が可能です。例えば、インシデントレスポンスの現場では、サイバー攻撃者が侵入の過程で端末のログを消去してしまっていて、侵入経路が最後までわからないことがあります。EDR は端末からログを吸い上げて保持しているため、たとえ端末のログを消去されてもインシデントの原因特定が可能で、インシデント発生時の被害関係者への対応が迅速に行えるだけでなく、謝罪やインシデント対応の説明もきちんと行えます。
小規模な国内拠点や海外拠点もセキュリティレベルを揃えられる
国内の小規模拠点や海外拠点のセキュリティは個別に現地で対応しているケースが少なくありません。しかし、こうした脆弱な海外拠点は最近では侵入口として狙われる場合があります。EDR は遠隔であっても調査や対処ができるため、EDR 導入の際に同時に海外拠点についてもセキュリティレベルを揃えるために同時に導入を検討されることが増えています
EDR 製品の比較ポイント、選び方
ここでは、EDR 製品の比較ポイントと選び方について解説します。
検知・阻止・フォレンジック・ハンティングの4つの機能があるかを確認する
EDR 製品を選ぶ際には、検知・阻止・フォレンジック・ハンティングの4つの機能が備わっていることをしっかりとチェックする必要があります。脅威の検知ができるのはもちろん、適切な対策が行えることが重要です。NGAV と EDR でライセンスが分かれているメーカーもあります。EDR を利用するのに必要なライセンスを確認して購入してください。
対応しているシステム環境を確認する
EDR 製品によって、対応しているサーバー、OS、端末は異なるため、対応しているシステム環境を必ず確認しましょう。EDR 製品によっては Macintosh や Linux への対処が Windows 端末と同等でない場合があります。また、サーバーに対応した EDR 製品も導入すると安全です。自社環境にあった EDR 製品を選ぶといいでしょう。
将来的な機能拡張と自社の導入ポリシーを確認する
EDR 製品の中には EPP と統合されていたり、XDR など同ベンダーの他のセキュリティ製品と統合管理が可能なものもあります。特定のベンダーのセキュリティ製品をすでに利用している場合や将来的にそのベンダーの製品に統合していく場合はおすすめです。一方で、EPP と EDR で別のベンダーのほうが脅威を見逃しにくいという意見もあります。または、自社システムはベンダーロックインをしない導入ポリシーの企業もあるでしょう。EDR 専業ベンダーの場合はこうした需要に応えます。
EDR、XDR と MDR とは
XDR(Extended Detection and Response)とは、その名の通り EDR を Extend(拡張)したソリューションと考えるとわかりやすいです。ログを相関分析する EDR を他のセキュリティ製品(UTM、メール、AWS や Azure 上のクラウドワークロードなど)のアラートやログまで拡張して、エンドポイント以外でも脅威を可視化し、リアルタイムに侵攻を食い止めるソリューションです。一般的にクラウド型のサービスが提供されます。
MDR(Managed Detection and Response)とは、EDR のセキュリティアラートの監視だけでなく、脅威の特定、検出、対処まで行う一連のアウトソーシングサービス(つまり、高度なマネージドセキュリティサービスのこと)を指します。
EDR 導入後のセキュリティ監視・運用を考慮した MDR
EDR 製品はインシデントレスポンスを主眼とした製品のため、常時セキュリティ監視運用が必要なソリューションです。EDR から出るアラートは、侵入された後に出るアラートのため緊急性が高く、24時間365日の監視する体制が望ましいでしょう。それに加えて、EDR が収集する OS のログ、セキュリティ機器のアラートなどの理解だけでなく脅威の分析ノウハウ、攻撃者の手法についても精通している必要があります。EDR の設定を理解しているだけでは使いこなせないのです。自社 SOC でセキュリティ運用をするのか、MDR ベンダーなど専門業者にセキュリティ運用を委託するのか、自社のセキュリティ運用を考慮した選定をしてください。
SBテクノロジーの MSS for EDR は、EDR 製品を導入している企業に対して MDR 常時監視や分析のサービスを提供しています。24時間365日いつでもシステムを監視できる最先端のセキュリティ監視センター(SOC)を完備していることが特徴です。セキュリティを専門とする経験豊富なアナリストたちが24時間365日、ノウハウを活かしてシステムを保護します。Trend Micro Apex One XDR、Microsoft Defender for Endpoint(MDE)、CrowdStrike Falcon、Cybereason、など多様な EDR 製品にも対応しているため、自社のセキュリティ対策のために役立ててはいかがでしょうか。
まとめ
ここまでで、EDR は非常に強力なセキュリティ対策であることがお分かりいただけたと思います。しかし、EDR があればすべてにおいて万全というわけではありません。次世代ファイアウォールやクラウド型のプロキシなどのセキュリティ対策ソリューション導入に加えて、脆弱な設定をしていないかチェックすること、脆弱性への適切なパッチ適用を行うこと、といった基本的な対応も同じくらい重要です。
サイバー犯罪者が組織化され洗練されてきている中で、セキュリティ対策の考え方の見直しが必要になっています。EDR は従来のウイルス対策ソフトで防ぎきれない、未知のマルウェアなどの脅威を防ぐためのソリューションです。巧妙化するサイバー攻撃に対抗するためには、EDR によるセキュリティの強化が必要不可欠です。