昨年から日本でも浸透しはじめた新しいエンドポイントセキュリティ「EDR(Endpoint Detection and Response)」をご存知でしょうか?EDRは従来までの対策とは異なる革新的なアプローチを行うことで、様々な脅威を効果的に検出し、対応することを可能としたセキュリティ製品です。
今回はこのEDRについて、従来のエンドポイントセキュリティとの違いと合わせてご紹介します。
従来のエンドポイントセキュリティと、最新のエンドポイントセキュリティ
マルウェア(malware)は、「悪意のある(malicious) 」と「software」を組み合わせて作られた造語、つまり悪意のあるソフトウェアです。インターネット黎明期から存在するトロイの木馬やワーム、最近ではランサムウェアが話題に上がっていますね。これらのマルウェアは何かしらの経路でパソコンやスマートフォンといった端末に侵入し、様々な悪影響を及ぼします。
たとえばトロイの木馬に感染した端末は内部の情報を流出させたり、登録しているネットバンキングやECサイトに侵入し不正取引を行う可能性があります。ランサムウェアは感染した端末をロックし、攻撃者はロックの解除方法と引き換えに金銭要求を行います。昨年5月には「WannaCry」というランサムウェアが大流行し、世界中で40億ドル(約4,400億円)もの被害が発生しました。
こうしたマルウェアに対する従来の対策がシグネチャによる「パターンマッチング」です。シグネチャとはマルウェアの特徴や攻撃パターンを定義したファイルであり、これと不正と思わしきプログラムを照合(マッチング)することでマルウェアを検出し端末から排除します。
10年前であれば、新種のマルウェア数が、月に数百件から数万件程度だったために、シグネチャによる対策だけで十分な効果は得られていました。しかし、現在ではマルウェアが新しく生成されるスピードが爆発的に加速しています。
世界的なセキュリティ機関であるAV-TESTのレポート※1によると、2016年に検出された新種のマルウェア数は1億2,750万件です。これは、1日に約35万件、1秒に4件以上の新種のマルウェアが生成されていることを示します。
各セキュリティベンダーは日々シグネチャを更新することに積極的ですが、新たなマルウェアが生成されるスピードの方が圧倒的に上回っているのが現状です。そのためシグネチャによる従来の対策だけでは、有効な防御策にならないのです。しかし、「エンドポイントセキュリティはアンチウイルスソフトがあれば十分」という従来までの考え方がまだ浸透しているため、多くの被害を生む温床ともなっています。
こうした現状に対し、今注目されている対策が次世代エンドポイントセキュリティです。次世代エンドポイントセキュリティでは単純なパターンマッチングによる保護だけでなく、様々なアプローチを併用することで、脅威に対して有効な対策を提供します。
EDRとは何か?
次世代エンドポイントセキュリティの中で非常に重要な機能の1つがEDRです。EDRは名前の通り、端末上の疑わしい動きを検出し、調査するソリューションです。EDRはよく「超高性能なセキュリティカメラ」に例えられます。
セキュリティカメラの役割は「監視」です。監視対象の挙動に対し複数のカメラで継続的に監視、記録します。それと同じようにEDRは端末の監視を第一の役割としています。各端末に専用のセンサーをインストールすることで、端末内の全てのアクティビティを継続的に記録します。
一般的なセキュリティカメラでは監視だけでその役目を終えますがEDRは違います。第二の役割は「分析」と「検出」です。記録した端末のアクティビティを分析することで、脅威や不審な動きを検出します。つまりセキュリティカメラが映し出している人物の動きを分析し、怪しい挙動を察知するのに似ています。
そして第三の役割が「対応」です。脅威や不審な挙動を検出した端末に対し、管理者による迅速な調査や対応をサポートします。セキュリティカメラで調査のために当時の映像を見返すようなものです。
このようにEDRは「端末上で攻撃を防げない」ことを想定して講じるエンドポイントセキュリティです。中には「端末が攻撃を受ける時点でアウトなのでは?」という意見もありますが、決してそうではありません。
なぜなら攻撃には段階があり、攻撃者は本命の攻撃のために事前に情報収集活動やバックドアの作成などを行います。実際に攻撃を受け始めてからも、内部での横展開や機密情報の奪取、痕跡の削除などを行います。端末の継続的な監視と記録により、これらの兆候や痕跡を迅速に検出することができれば、重大なインシデントとなる前に被害を最小限にすることが可能です。
「100%のセキュリティは無い」と言われている昨今において、EDRは非常に理に適ったエンドポイントセキュリティなのです。
EDRはセキュリティ専門家しか使いこなせない?
EDRの特徴は各端末にセンサーをインストールすることで、アクティビティを監視、記録し、それを分析して脅威を検知、さらに調査や対応を促すものだと説明しました。この特徴から「EDRはセキュリティの専門家しか使いこなせないのでは?」と考えた方も多いのではないでしょうか。
結論から言うと、EDRをセキュリティ専門家でなくても使いこなせるかどうかはその製品に依存します。たとえば世界でトップレベルのシェアを獲得しているCarbon Black, Inc.が提供する製品にはいくつかのシリーズがあります。豊富な機能を提供し最も強力なEDRソリューションである「CB Response」は、ある程度の知識とスキルが必要なのも事実です。
そのため、MSSP(Managed Security Service Provider)、IR(Incident Response)といったセキュリティ専門家や、企業のプライベートSOC(Security Operation Center)チームに愛用されています。
一方で「CB Defense」というシリーズは次世代のアンチウイルス(NGAV)とEDRの機能を一本化したクラウドサービスであり、セキュリティ専門家でなくとも扱いやすいEDR製品です。ランサムウェアを含むマルウェアはもちろんのこと、非マルウェアと呼ばれるサイバー攻撃も迅速に検出して、オンラインとオフラインの両方で攻撃を自動的に阻止します。
高いパフォーマンスを維持しつつ高度なエンドポイントセキュリティを講じることが可能なので、セキュリティ専門家がいない企業にとっても有効なEDR製品です。
[RELATED_POSTS]まとめ
新しいエンドポイントセキュリティの領域はEDRだけではありません。現在では様々なセキュリティ製品が登場し、いずれも高度なエンドポイントセキュリティを提供しています。その中でも、効果が高いとされ近年特に注目されているのがEDRです。現状のマルウェア対策を改善したり、より高度なエンドポイントセキュリティを講じたいというニーズをお持ちであれば、EDRの活用をぜひご検討ください。