ここ数年、次世代エンドポイントセキュリティとして注目されている機能の一つに「EDR (Endpoint Detection and Response)」があります。2021年になり、日本国内でも多くの組織で導入されるようになったEDRですが、セキュリティ対策の強化のためにこのEDRを検討している組織の方も、まだまだ多く見受けられます。
EDRを例えると「超高性能セキュリティカメラ」と言えるでしょう。EDRは端末(エンドポイント)にインストールしたセンサーが全てのアクティビティを監視、収集し、解析します。その結果、不審な挙動をするような端末を検出し、管理者に通知します。さらにリモートでその端末に対する対応を支援する機能を提供します。
従来のセキュリティ対策はいかに感染や侵入を防ぐかということに重点が置かれていましたが、これと比較するとEDRは「感染・侵入されることを前提としている」というのがポイントです。セキュリティに100%の対策は無いと言われている以上、マルウェアの感染やネットワークへの侵入を未然に防ぐセキュリティ対策だけでは不十分であり、より現実的なアプローチと言えるでしょう。
今回は、より現実的なソリューションとして注目されているEDRを比較する際に特に重要なポイントを紹介します。一口にEDRといっても様々な種類があり、環境や目的に合わせて適切なものが異なるので、この機会に比較ポイントを理解しましょう。
EDRの比較ポイント
それではさっそくEDRの比較ポイントをご紹介します。今回ご紹介する比較ポイントは以下の7つのポイントです。
それでは順に紹介していきましょう。
提供形態 (クラウド or オンプレミス)
現在のITソリューションのほとんどは、「クラウドかオンプレミスか」という提供形態の違いがあります。クラウドとはインターネット上でサービスとして提供されるソフトウェアやアプリケーションの総称であり、オンプレミスは従来通りの社内インフラ上に構築するシステムを指します。
クラウドがIT業界でのメジャーな選択肢となってから時も経ち、その利点はすでにみなさんご存じのことかと思います。社内インフラを構築する必要がないので、導入が迅速だったり初期投資を抑えられたり、あるいは稼働監視や定期的なメンテナンスにかかる運用コストが少ないというのが主な利点でしょう。
EDRにおいてもこのポイントは同じです。管理UIを提供する管理サーバーが「クラウドかオンプレミスか」という提供形態は二分されていて、重要な比較ポイントになっています。
そのなかでもやはり主流になっているのはクラウド型製品です。EDRは端末にエージェントをインストールし管理サーバーによる集中管理を行います。クラウド型のEDRであれば社外に持ち出した端末も常に管理下におけるのが非常に強力なメリットです。昨今の働き方の変化、テレワークや在宅勤務の増加から、クラウド型のEDRを選択する組織も増えているように見受けられます。
クラウド型EDRの場合には、管理クラウドが日本にあるのか、海外にあるのかも重要なポイントの一つです。ベンダによっては日本リージョンの管理クラウドの提供がない場合もありますので、自社のセキュリティポリシーと照らし合わせて確認することが重要と言えます。
一方で、完全オフライン端末への監視が必要な場合にはクラウド型では実現できないため、オンプレミス型が利用されるケースもまだまだあるのが現状です。
ログの収集対象と保存場所
EDRは端末上のアクティビティの監視、記録をします。収集しているアクティビティは、EDRによってその対象、期間、保存場所が異なるので、これも重要な比較ポイントです。
収集している情報が限定的で、期間が短ければ十分な「調査」ができない可能性があります。すべてのアクティビティを漏れなく、また十分な期間保持できることが重要です。
また、ログの保持場所も「端末上」と「管理サーバー上」に分かれます。「端末上」にログがあれば常に最新のログでの解析や調査が可能ですが、オフライン状態の端末に対してはEDR機能を活用できません。
「管理サーバー上」にログがある場合では、すべてが最新の情報ではないですが、オフライン端末であっても最後にアップロードされたログをもとに「調査」を行うことが可能です。また、管理サーバー上で解析を行うので端末への負荷も小さくなります。
ここで特に注意が必要なのは、「管理サーバー上」にログを保持する製品で、提供形態がクラウド型の製品です。先ほども記載した通り、管理クラウドが日本での提供がない場合がありますので、海外へのログ保存ができないセキュリティポリシーを持つ組織の場合には、しっかりと事前に確認していくことが重要です。
EDRの必須機能 (検知、封じ込め、調査、復旧)
業界最大規模のICTアドバイザリ企業であるGartner社の定義※1によると、EDRの主要な機能はエンドポイントでのセキュリティインシデントの「検知」とその後のインシデント対応(「封じ込め」、「調査」、「復旧」)です。ここ数年でEDRベンダは自社製品に対して様々な機能拡張を行ってきたことから、製品間での機能差分はほとんどなくなりつつあります。しかし、まだまだEDRの必須機能の中でも製品によっては機能差があります。
EDRの大きなメリットの一つは、インシデント発生後の対応を支援するさまざまな機能を持っている点です。中には「調査」機能が非常に限定的なものや、「復旧」を支援する機能をほとんど持たないようなEDRもあります。「調査」の対象も、EDR自身が検出したアラートに対するもののみであり、他の製品でのアラートや、従業員の方からの問い合わせなどで少しログを調べたい、といった場合にログの調査に活用できないようなEDRもあるので注意が必要です。
防御機能の提供可否とその方法 (NGAV)
先ほども記載した通りEDRは「検知」製品であり、利用している様々なセキュリティ対策をすり抜けて侵入してきた脅威を端末上でいち早く見つけるためのツールです。見つけた脅威は、担当者が手動で、もしくは他システムとの連携などによって封じ込め、止める必要がありました。
これを改善するべく、最近のEDRの中には同時により強力な防御機能として「Next Generation Anti-Virus(NGAV)」の機能も同時に提供するものが増えてきています。これにより、ネットワーク対策をすり抜けて端末(エンドポイント)に到達した脅威は「NGAV」で可能な限り直ちに防御し、それでも防ぎ切ることができなかった脅威をEDRで検出、対応していくということが可能になりました。つまり、対応が必要なインシデント数を減らす効果が期待できます。
EDRの中には、この「NGAV」の機能を標準で提供するものと、別製品、もしくは別ライセンスで拡張機能として提供するものがあります。いずれの提供形態でも「NGAV」と「EDR」がしっかりと連携して動作し、管理UI上に表示される製品であるのか、というのは実際の運用を行う上で重要なポイントです。
自社環境への導入可否と導入による影響
忘れてはいけない比較ポイントが「どんな端末環境で利用できるか?」ということです。ビジネスを取り巻くシステム環境は複雑の一途をたどっていて、様々なOSやミドルウェアが入り混じった環境を構築しているという組織がほとんどでしょう。
現状のシステム環境を改めて整理した上で、利用しているより多くの端末に対応したEDRを選びましょう。漏れなく監視を行うことが、強固なセキュリティ対策につながります。
しかし、監視対象となるクライアントにパフォーマンスの影響が出てしまっては本末転倒です。パフォーマンスは比較ポイントとして忘れられがちですが、確実にチェックしておきたいポイントの一つです。
他社製品との連携
恐らくですが、初めて導入するセキュリティ製品としてEDRを選択するという組織は稀かと思います。アンチウイルスやファイアウォールなど、基本となるセキュリティ製品を既に導入していて、その上にEDRを導入するという組織がほとんどでしょう。
EDRではインシデント対応のために、それらのセキュリティ製品をシームレスに連携し、より強固なセキュリティ対策の実現や、運用の自動化・効率化を実現することが可能なものもあります。既存のセキュリティ製品からの情報を取り込み、それも含めてデータ分析を行うようなものもあるため、他社製品との連携はセキュリティレベルにも影響する重要な比較ポイントです。
サポート体制や支援サービス
EDRはこれまでの止めるためのセキュリティ対策製品とは異なり、防ぎきれない脅威を迅速に見つけて対応するためのツールです。そのため、EDRの運用は多くの組織ではこれまで経験したことのない、新しい業務になります。組織内に必ずしも十分な専門スキルを持つ人材がいるとは限らず、十分な担当者が確保できているとも限らない今の多くの組織の現状を鑑みると、どのようなサポートを受けることができるのか、どういった支援サービスが提供されているのかということも、EDRを選定する上で重要なポイントです。
EDRを提供するベンダや販売代理店、サービス事業者の中には、お客様のセキュリティ環境をエキスパートが監視し、最新の脅威を通知するというサービスがあります。一般的にはSOCサービスと呼ばれるようなものです。ただ通知するだけではなく、実際に発生したインシデント対応の支援や、その代行まで行うMDRサービスを提供するベンダや販売代理店、サービス事業者も増えてきています。
自社での対応に不安がある場合などは、こうしたセキュリティサポート体制もしっかりと確認しておくことが大切です。必要に応じてサポートを受けることで、より強固なセキュリティ対策を講じて重大なセキュリティ事件を回避することができます。
テクニカルサポート体制についても、24時間対応や、日本語でのサポートがあれば安心して導入・運用ができるでしょう。
まとめ
EDRの比較ポイントについてご紹介しましたが、独自に最適なEDRを選ぶことは決して簡単ではありません。ネットワークバリューコンポーネンツではVMware社のVMware Carbon Black CloudやVMware Carbon Black EDR、FireEye社のFireEye Endpoint Securityなど複数のEDRを扱っています。EDR選びで迷った際はぜひご相談ください。セキュリティの要件やIT環境に合わせて最適なソリューションをご提案いたします。
※1 Named: Endpoint Threat Detection & Response (https://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/)
この記事に関するサービスのご紹介
CB Response
CB Responseは、エンドポイントのアクティビティ情報を集約することで、セキュリティ運用チームが脅威を発見し攻撃者の行動を追跡して攻撃を阻止するインシデントレスポンスに必要としている、一元化された脅威情報とレスポンスツールを提供するソリューションです。
詳細はこちら
