2019年2月27日、TIS株式会社と「EDRをどう選ぶ?次世代エンドポイント製品の選定のポイント」セミナーを共催しました。
2014年頃日本に登場して以来、続々と日本企業に導入が決まっているEDR。
最新技術の採用に積極的な企業だけでなく、その他の企業でも続々と導入が決まっています。攻撃が高度化する中、すでにEDRは必須の導入製品になりつつあります。
しかしこのEDR、どのような使い方をするのか、そもそもどの製品を選べばいいのかわからない、という企業が多いのが実態ではないでしょうか。
NVCは、2016年のCarbon Black製品販売開始から約2年半、百社以上のEDR導入検討に関わらせていただいてきました。
今回実施したセミナーでは、その全てに携わってきたセキュリティエバンジェリストの佐藤佑樹が、実際の検討・導入の経験に基づき、EDRの選び方と運用の勘所についてお話し、大好評をいただきました。
本ブログでは、このセッション内容の一部を少しだけご紹介させていただきます。
※利用例や選定ポイントについてはCarbon Blackに限らず一般的なEDR、次世代エンドポイントセキュリティについて記載しています。
現状のセキュリティ対策のおさらい
FWやIPS/IDSに加えて、Sandboxによる多層のセキュリティ対策を行うことがすでに当たり前となり、多くの企業で多層で強固な境界防御対策が行われています。
それにも関わらず、サイバー攻撃による被害報告が多数報告されるのはなぜでしょうか。
それは「攻撃者側がより高度な攻撃を行なっていることや働き方改革によるリモートワークの増加に伴う出入り口での境界防御の限界であること」、「シグネチャによるパターンマッチングによる受け身の対策だけでは不十分になっている」ということが原因と考えられます。
こうした現状に対して、サイバー攻撃が防ぎきれない、つまり「エンドポイントが感染してしまうことを前提にした対策」を多くの企業で導入し始めています。これが「Endpoint Detection & Response」、つまり「EDR」です。すでに、最新の経済産業省や内閣サイバーセキュリティセンター(NISC)からのガイドラインにも感染を前提にした対策を行うような記載があるように、日本国内でもEDRの導入が当たり前になりつつあります。
※EDRの詳細は、「EDRとは」を参照ください。
EDRは今まで見つけることができなかったような高度な脅威を検出するだけでなく、発生したインシデント対応をより効率化するための封じ込め、調査、復旧の機能を提供します。しかし、EDR単体では防御機能を持たないため、対応が必要なインシデントの数は変わりません。
限られたリソースの中で運用をしなければいけない現状を鑑みた時に今最も必要なエンドポイントセキュリティ対策、つまり次世代エンドポイントセキュリティとは、EDRに加えてより強力な防御機能(NGAV)、これらを併せ持つ製品こそが必要なのです。
※NGAVの詳細は、「エンドポイントセキュリティとは」(https://products.nvc.co.jp/blog/what-is-endpoint-security)を参照ください。
“次世代エンドポイントセキュリティ”はどのように利用されているか
EDRの運用に対して、多くの方々は非常に手間のかかる運用が難しい製品、という印象をお持ちのことでしょう。
では、このEDRを含む「次世代エンドポイントセキュリティ対策」製品を、すでに導入している企業がどのような使い方をしているのかについて、弊社がこれまでに紹介、導入してきたナレッジから紹介しましょう。
主に3つの使い方がされているようです。
- 従来から対応を行なっているインシデント対応の効率化のためのツールとして活用
- エンドポイントでのより強力な防御機能を付与するために活用
- 従来の対策では見つけることのできなかった脅威の検出のために活用
この3つのポイントで主に運用されています。
なお③については、EDR製品の豊富な機能とより高度な対策機能を活用されているのですが、必ずしもフル機能を活用しなければいけないものではありません。①、②の使い方だけでも十分な効果が得られます。運用担当組織の成熟度以上の使い方をいきなりすることはできません。無理なくできるところから強化していくことが重要です。
[RELATED_POSTS]
“次世代エンドポイントセキュリティ”の選定ポイント
スムーズに製品の選定を行った企業は、しっかりと事前に選定ポイントを決めているケースが多いです。
前後する場合はあるものの、情報収集、要件定義、机上比較、POC、導入の流れで製品を選定しています。要件定義でしっかりとした選定ポイントを決めることで、机上比較でPOCを行う製品の絞り込みが可能になります。POCを行うには担当者の時間とリソースが必要です。ブレない製品選定と、限られたリソースを有効活用するためにもしっかりと要件定義することが必須です。
では、すでに導入している企業では、どのようなポイントで選定していることが多いのでしょうか。
次世代エンドポイントセキュリティ対策導入のための選定ポイントについて弊社のこれまでのナレッジから6つのポイントをまとめてみました。
- 自社環境への導入可否
- 導入後の運用方針
- 検知/防御機能
- 過剰防御/検知時の除外機能
- 収集しているログとその期間、検索性
- 端末への対応や復旧機能
実際に、それぞれのポイントでさらに細かな観点でのポイントがありますが、この6つのポイントが非常に重要です。
[SMART_CONTENT]最後に
すでにEDRを含む次世代エンドポイントセキュリティの導入は必須になりつつあります。
しかしながら、次世代エンドポイントセキュリティを十分に使いこなせるレベルにあるケースは非常に少ないのも事実です。
次世代エンドポイントセキュリティは導入するだけでも高い効果を発揮しますが、組織の成熟に合わせて少しずつ高度な使い方をすることで、さらに高い効果を得ることが可能になります。アウトソーシングを含め、自社にとっての最適な運用方法に沿った製品選定が重要です。
弊社では次世代エンドポイントセキュリティとしてCarbon Blackの取り扱いや、MDRサービスの提供もしています。Carbon Blackが検討対象に含まれている場合には、より具体的な知見の共有やアドバイスをさせていただくことも可能ですので、ぜひご相談、お問い合わせください。
この記事に関するサービスのご紹介
Endpoint Standard
Endpoint Standardは、未知のマルウェアや非マルウェア攻撃も検知・防御するEPP機能 と、脅威の侵入後に対応するためのEDRの機能、両方を持ちます。
詳細はこちら