SBTのスベテ

インシデントレスポンスで重要な EDR のご紹介

久保 祐人

先日、当社およびトレンドマイクロ社のセキュリティコンサルタントがサイバー攻撃の被害例とインシデントレスポンス(以下、IR)で復旧支援した内容を紹介するウェビナーを行いました。ウェビナー自体は特定の製品やサービスを紹介するものではありませんでしたが、このブログでは復旧や原因調査で重要な役割を果たした EDR を IR の視点からご紹介したいと思います。

EDR のセキュリティ監視サービス「MSS for EDR」詳細はこちら


二重脅迫型ランサムウェアと EDR

2021年は二重脅迫型ランサムウェアの年でしたが、2022年もこの傾向は当分続いていくと思います。 二重脅迫型ランサムウェアというのは標的型攻撃の手法を使ってランサムウェアの攻撃力を高めたもので、データを暗号化して人質にすること(一重)+暗号化したデータを公開すると脅す(二重)ことで金銭などを要求するサイバー攻撃です。

EDR はこのランサムウェア標的型攻撃の手法部分を検知して攻撃を食い止め、さらにそれらの手法の痕跡から攻撃の原因を調査することができるツールです。まさに、Endpoint の脅威を Detection(検出)して Response(対応、調査、原因究明)するのです。
では、IR の中で EDR はどのように役に立つのでしょうか。

攻撃者の行動

攻撃者は二重脅迫をするときに、侵入して、重要データを探して、それを暗号化して、脅迫を行うといった順序でいくつかの段階を経ます。その中で、侵入を成功させてから早い段階で検知の回避および侵入経路の隠蔽を狙って、端末やネットワークのログを消す習性があります。

EDR があれば発見、調査が迅速化できる

こうしたログ消去行為は IR においては非常に厄介になります。調査に時間がかかる上に最終的に侵入経路も明確にならないケースもあります。

しかし、EDR があれば EDR 側でもログを保持しているため原因を含めた調査が迅速に実施でき、侵入経路も早急に対処できるためレスポンスの迅速化ができ、早期の事業復旧出来る可能性が大きく高まります。(この対処の迅速化をサイバーレジリエンスと言ったりします。)

EDR のセキュリティ監視サービス「MSS for EDR」詳細はこちら


インシデント対処に有効に機能する EDR

EDR のセキュリティ監視サービス「MSS for EDR」詳細はこちら


EDR の効果的な運用支援のための MSS

EDR を効果的に運用するにはセキュリティの知識と経験が必要になります。加えて、24時間監視する体制も検討が必要です。なぜなら、EDR で検知=攻撃が成功して侵入を許している状態であり、即時で対応する必要があるためです。
当社のマネージドセキュリティサービス(以下、MSS)では、こうしたセキュリティ監視を提供しています。

MSS の特徴とサービス内容

当社で提供するMSSの概要を列挙します。

  • 24時間の監視体制で攻撃を検知、分析、対処(お客様判断を待たずに攻撃を抑制)
  • アラートを分析して影響度の高いアラートのみ通知(過検知の抑制)
  • 外部通報や社員による申告など EDR 以外で検出したインシデントも EDR の機能で組織内を調査
  • 他製品の MSS をご契約の場合、複数セキュリティ機器による相関分析の実施
  • 海外拠点への英語対応体制
EDR のセキュリティ監視サービス「MSS for EDR」詳細はこちら


さいごに

二重脅迫型ランサムウェアは工場のラインを停止したり病院の機能を停止させたりと、もはや事業継続リスクになっています。

近年、アメリカ国立標準技術研究所(NIST)や独立行政法人情報処理推進機構(IPA)から発表されるゼロトラストアーキテクチャや各種セキュリティガイドラインでは、侵入を前提としたセキュリティ対策が推奨されています。EDR はその中で大きな役割を担うソリューションで、セキュリティベンダーである当社としても有効性が高いと感じています。

関連ページ

次世代エンドポイントセキュリティ「Cybereason EDR」 資料請求・お問い合わせはこちら
次世代エンドポイントセキュリティ「Cybereason EDR」 詳細はこちら
EDR のセキュリティ監視サービス「MSS for EDR」 資料請求・お問い合わせはこちら
EDR のセキュリティ監視サービス「MSS for EDR」詳細はこちら

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録