企業や官公庁などの組織では、サイバー攻撃から資産・情報を守るためのセキュリティ対策が徹底されています。しかしながら、サイバー攻撃は高度化・複雑化を続け、被害事例は後を絶ちません。これは、従来のセキュリティ対策では高度なサイバー攻撃を100％防ぐことの難しさを表しているという見方もできます。

セキュリティ対策といえば、「マルウェアの侵入を防ぐこと」を目的に実施されてきましたが、これからは侵入の防止だけでなく、侵入・感染が起きることを前提として対策を講じる必要があります。

このように、高度化・複雑化するサイバー攻撃への対策として今注目を集めているのが、『EDR (Endpoint Detection and Response) 』と呼ばれる、侵入した脅威をすばやく見つけ出し、適切な対処を迅速に行うソリューションです。

本記事では、EDRがどのような仕組みで脅威からシステムや情報を守っているのか、従来のセキュリティ対策製品とはどのような違いがあるのか、導入することで得られる効果、EDR製品を選ぶときのポイントについて詳しく解説します。

​​

EDRとは？

EDRとは、エンドポイント（ネットワークに接続されている端末）で不審な挙動がないか監視し、マルウェアなどのサイバー攻撃をすばやく検知し、被害が拡大しないよう対処するための製品を指します。

防御できずにすり抜けてしまったマルウェアの存在にいち早く気付き、侵入したマルウェアによるデータの破壊や窃取などを防止するために効力を発揮します。

仕組み

EDRは、マルウェアなどの不審なプログラムやファイルなどが潜伏していないか、エンドポイント上を常に監視します。

プロセス をはじめとした端末データを分析し、不審な動きがあった場合や、集めたデータから攻撃の兆候を見つけた場合はすぐに管理者に通知が送られます。

管理者は通知を受けて、どのような攻撃があったのか詳細をチェックし、侵入経路や影響が及んだ範囲の規模を特定、攻撃の内容に合った方法で対処するという仕組みになっています。

従来のセキュリティ製品との違い

セキュリティ対策製品には、世の中にさまざまな製品が存在します。
たとえば、AV（アンチウイルス）やNGAV（次世代アンチウイルス）を含むEPP（Endpoint Protection Platform：エンドポイント プロテクション プラットフォーム）がありますが、以下のように、EDRとEPPでは、導入する目的に大きな違いがあります。

●    EPP（アンチウイルス、次世代アンチウイルス）…マルウェア侵入を阻止する
●    EDR…侵入した脅威をすばやく見つけ出し、対処する

マルウェアの侵入阻止を目的とした製品がEPPで、EPPによる防御をすり抜けてしまった脅威を見つけ出し、被害が起こらないように対処することを目的とした製品がEDRということになります。

EDRを導入する効果

高度化・複雑化するサイバー攻撃に対しEPPのみで対処するのは難しく、マルウェアなどの感染を完全に防ぐのは不可能だといわれています。

マルウェアの侵入を前提として侵害に対応するためのEDRによって、侵入を即座に検知し、攻撃を特定し封じ込めることで、被害を未然に防ぐことができます。

万が一攻撃を受けた際にも、影響が及んだ範囲や攻撃経路などの確認ができるため、迅速なインシデント・レスポンスが可能となります。

EDR製品を選ぶときのポイント

EDRにはさまざまな製品がありますが、そのすべての製品がEDRに求められる機能を有しているとは限りません。ここからはEDR製品を選ぶときに欠かせないポイントについて解説します。

検知能力

EDR製品を選ぶ際にまず確認すべきなのが、検知能力です。サイバー攻撃は年々巧妙化しているため、あらゆる攻撃を検知できる高い能力が求められます。

既知のマルウェアだけでなく未知のマルウェアも検出可能か、あるいはマルウェアを使わない攻撃手法『ファイルレスマルウェア』は検出可能かどうかなども選定するうえで大切なポイントとなります。

分析精度

EDRは、エンドポイントの監視データを基に攻撃を検知するため、いかに高い精度かつリアルタイムで解析・分析できるかも重要なポイントです。

また、分析精度の高さにおいては脅威インテリジェンスが欠かせません。外部から取り込んだ脅威インテリジェンスとのマージなども行える製品であれば、精度の高さに期待できるでしょう。

調査作業の支援機能

マルウェアが発見された場合は、攻撃経路や影響が及んだ範囲、根本原因を調査しなければなりません。

離れた場所にあるエンドポイントのプロセスの強制的なシャットダウン、ログの保存や怪しいプログラムやファイルを見つけた場合はそれを隔離するなど、これらの操作をリモートあるいは自動で行える環境が備わっていれば、効率的に調査作業を行えます。

エンドポイントの動作への影響

EDRは専用のソフトウェアを対象のエンドポイントに導入することで不審な動きの監視を行います。しかし、高い負荷がかかることで動作が遅くなるなど、既存の環境に悪影響を及ぼすようでは業務に支障が出てしまいます。

業務に支障が出るような過度な負荷がかかることはないか、ユーザーモードでも動作するかなどはあらかじめ検証が必要といえます。

まとめ

サイバー攻撃は巧妙化の一途をたどっており、従来のセキュリティ製品ですべての攻撃をカバーすることは困難です。

もちろん、未然に防止するための対策は必要ですが、併せて、攻撃を防げなかった場合の対策を講じる必要性も高まっています。

内部に入り込んだ脅威を見つけ出すだけでなく、その後の適切な対処を行うためのEDR製品は、悪意のある脅威から企業の大切なデータや資産を守るために欠かせない、重要なセキュリティ対策の一つといえます。

「Cybereason Complete Endpoint Protection」では、NGAV機能によってマルウェアの侵入を未然に防ぐだけでなく、AIを使った膨大なログデータの解析を行う「Cybereason EDR」がリアルタイムで攻撃の兆候を見つけ出し、脅威に対し迅速な対処を行います。その後はMSSにて検知リスクの判定や解析を行い、必要に応じて解決策を提示するなどサポート体制も万全です。

ランサムウェアやファイルレス攻撃、標的型攻撃など最新の高度なサイバー攻撃に対処するセキュリティ製品をお探しのご担当者様は、ぜひCybereason Complete Endpoint Protectionの導入をご検討ください。

また、伊藤忠テクノソリューションズへのCybereason EDR導入事例も掲載中です。導入事例はこちらからご覧いただくことができます。