EDRによるセキュリティ対策は何が違うのか?

 2018.08.01  株式会社ネットワークバリューコンポネンツ

IPAが毎年発表しているレポート※1によると、2018年に警戒すべき10大セキュリティ脅威は次の通りです。

昨年順位

個人

順位

組織

昨年順位

1位

インターネットバンキングやクレジットカード情報等の不正利用

1位

標的型攻撃による被害

1位

2位

ランサムウェアによる被害

2位

ランサムウェアによる被害

2位

7位

ネット上の誹謗・中傷

3位

ビジネスメール詐欺による被害

ランク外

3位

スマートフォンやスマートフォンアプリを狙った攻撃

4位

脆弱性対策情報の公開に伴う悪用増加

ランク外

4位

ウェブサービスへの不正ログイン

5位

脅威に対応するためのセキュリティ人材の不足

ランク外

6位

ウェブサービスからの個人情報の窃取

6位

ウェブサービスからの個人情報の窃取

3位

8位

情報モラル欠如に伴う犯罪の低年齢化

7位

IoT機器の脆弱性の顕在化

8位

5位

ワンクリック請求等の不当請求

8位

内部不正による情報漏えい

5位

10位

IoT機器の不適切な管理

9位

サービス妨害攻撃によるサービスの停止

4位

ランク外

偽警告によるインターネット詐欺

10位

犯罪のビジネス化

(アンダーグラウンドサービス)

9位

組織のカテゴリでは昨年に引き続き標的型攻撃とランサムウェアが最も脅威とされています。それ以外に着目すべき点は、3位~5位の脅威が前年まではランク外だったものが入ってきていることです。これは、セキュリティ脅威に毎年新しいトレンドが生まれているということを意味しており、企業にとっては常に新しいセキュリティ対策が求められている理由にもなります。

こうした現状において従来通りのセキュリティ対策だけで十分なのでしょうか?答えは当然「No」です。セキュリティ脅威に新しいトレンドが次々生まれているのならば、企業もそれに応じて新しいセキュリティ対策を取り入れる必要があります。

今回は、従来のセキュリティ対策とは異なる新しいエンドポイントセキュリティである「EDR(Endpoint Detection and Response)」についてご紹介します。

EDRは「超高性能セキュリティカメラ」

EDRは昨年から日本で浸透しはじめた新たなセキュリティ対策であり、次世代エンドポイントセキュリティの一つとして注目されています。その概要を簡潔に言い表すならば「超高性能なセキュリティカメラ」です。

セキュリティカメラの主な役割は「監視」です。特定の位置からその風景を映し出し、不審な人物がいないかを監視しています。EDRもこれと同じように「監視」を起点としたエンドポイントセキュリティを提供します。

CarbonBlack製品に関するお役立ち資料

どのように監視するかというと、各端末にインストールしたセンサーによって全てのアクティビティを記録します。そのアクティビティを分析することで、不審な動きがないかを監視するのです。もしも不審な動きがあればそれを検出し、管理者へ迅速に通知します。通常のセキュリティカメラなら「監視」でその役割を終えますが、EDRはその後も独自の分析で不審な動きを検知します。そのため「超高性能セキュリティカメラ」に例えられるのです。

さらに、EDR製品によっては検出後の調査や対応を支援する様々な機能を持つため、手間をかけずに高度なセキュリティ対策を講じることもできます。

[SMART_CONTENT]

従来のセキュリティ対策との違い

従来のセキュリティ対策、たとえばアンチウイルス製品は「感染を未然に防ぐこと」を目的としています。シグネチャと呼ばれるマルウェアや攻撃パターンを定義したパターンファイルと端末内のアプリケーションを照合(マッチング)することで、マルウェアを事前に検出して端末への感染を回避します。

10年前であれば、エンドポイントセキュリティはアンチウイルス製品だけで十分だったでしょう。またネットワーク対策としてファイアウォールを設置し、IDS/IPSといったセキュリティ製品を導入することで、堅牢なセキュリティ対策として機密情報を守っていました。

しかし、この10年で事情は一変しています。世界的なセキュリティ専門機関のAV-TESTが発表したレポート※2によると、2016年に検出された新種のマルウェア数は1億2,750万件です。ではこの10年前の2006年はどうかというと、わずか100万件です。その数は10年で127倍以上に増加しているのです。

なぜここまで激変したのか。それは「サイバー攻撃の目的の変遷」に関係しています。従来のサイバー攻撃は自分の技術や力を誇示したり、世間の騒動を楽しむような愉快犯的なものがほとんどでした。実際に2003年に流行した「MS Blast」と呼ばれるマルウェアは、ネットワーク経由で爆発的に感染が拡大したものの、それによって企業の重要情報が流出するといった重大な事件はありませんでした。

対して現在のサイバー攻撃はというと、明らかな金銭目当てや事業へのダメージを目的としたものがほとんどです。個人情報や機密情報を売買するマーケットが拡大し、情報がより高い価値を持つようになったことで、サイバー攻撃の技術も日々高度化・巧妙化し、目的も大きく変化したのです。

こうした現状に対して「感染を未然に防ぐ」というセキュリティ対策はもはや現実的ではないと言ってもよいでしょう。1日に約35万件も生成されるマルウェアをすべてシグネチャに反映するのは不可能なのです。

EDRは従来のセキュリティ対策と違って「端末上で攻撃を防げないことを想定した対策」を講じるものです。セキュリティ対策に100%は無い、ならば攻撃者がネットワーク内に侵入し、端末が攻撃を受けることを想定し、そのあとの被害を最小化するというアプローチでセキュリティ対策を講じる方が現実的で効率的かつ有効な対策を講じられます。

これが従来のセキュリティ対策とEDRの決定的な違いです。

[RELATED_POSTS]

世界No.1のEDRベンダー「Carbon Black」

当社ネットワークバリューコンポーネンツ(NVC)は、EDRベンダーとして世界トップクラスの実績を持つCarbon Black, Inc.の正規販売代理店として革新的なエンドポイントセキュリティを提供しています。当社はその販売実績はもとよりCarbon Black製品に関する高い技術が評価され「Carbon Black APJ Partner Summit 2018」にて、「Emerging Partner of the Year 2017」を日本国内で唯一受賞しました。

Carbon Black, Inc.は2002年から16年以上にわたり、その時々に最適なエンドポイントセキュリティを提供し続けてきた世界有数のセキュリティベンダーです。同社はEDR製品として「CB Response」や「CB Defense」など複数のソリューションを提供しています。

セキュリティ専門家が扱うようなものもあれば、企業独自に扱えるEDR製品もあります。

高度なエンドポイントセキュリティを講じたい、EDR製品について気になる、という方はぜひ当社までご相談ください。セキュリティ環境に合わせて最適なソリューションをご提案いたします。

※1情報セキュリティ10大脅威 2018(https://www.ipa.go.jp/security/vuln/10threats2018.html)

※2SECURITY REPORT 2016/17(https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf)

Carbon Blackご紹介資料

RECENT POST「コラム」の最新記事


EDRによるセキュリティ対策は何が違うのか?
New Call-to-action

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧