次世代エンドポイントセキュリティとして注目されている機能の一つが「EDR (Endpoint Detection and Response)」です。セキュリティ対策を強化するために、このEDRを検討している方も多いでしょう。
EDRを例えると「超高性能セキュリティカメラ」と言えるでしょう。EDRは端末(エンドポイント)にインストールしたセンサーが全てのアクティビティを監視、収集し、解析します。その結果、不審な挙動をするような端末を検出し、管理者に通知します。さらにリモートでその端末に対する対応を支援する機能を提供します。
従来のセキュリティ対策はいかに感染や侵入を防ぐかということに重点が置かれていましたが、これと比較するとEDRは「感染・侵入されることを前提としている」というのがポイントです。セキュリティに100%の対策は無いと言われている以上、マルウェアの感染やネットワークへの侵入を未然に防ぐセキュリティ対策だけでは不十分であり、より現実的なアプローチと言えるでしょう。
今回は、より現実的なソリューションとして注目されているEDRを比較する際に特に重要なポイントを紹介します。一口にEDRといっても様々な種類があり、環境や目的に合わせて適切なものが異なるので、この機会に比較ポイントを理解しましょう。
EDRの比較ポイント
それではさっそくEDRの比較ポイントをご紹介します。今回ご紹介する比較ポイントは6つです。
1. 提供形態 (クラウド or オンプレミス)
現在のITソリューションのほとんどは、「クラウドかオンプレミスか」という提供形態の違いがあります。クラウドとはインターネット上でサービスとして提供されるソフトウェアやアプリケーションの総称であり、オンプレミスは従来通りの社内インフラ上に構築するシステムを指します。
クラウドがIT業界でのメジャーな選択肢となってから時も経ち、その利点はすでにみなさんご存じのことかと思います。社内インフラを構築する必要がないので、導入が迅速だったり初期投資を抑えられたり、あるいは稼働監視や定期的なメンテナンスにかかる運用コストが少ないというのが主な利点でしょう。
EDRにおいてもこのポイントは同じです。管理サーバーが「クラウドかオンプレミスか」という提供形態は二分されていて、重要な比較ポイントになっています。
そのなかでもやはり主流になっているのはクラウド型製品です。EDRは端末にエージェントをインストールし管理サーバーによる集中管理を行います。クラウド型のEDRであれば社外に持ち出した端末も常に管理下におけるのが非常に強力なメリットです。ただし、完全オフライン端末への監視が必要な場合にはクラウド型では実現できないため、オンプレミス型が利用されるケースもまだまだあるのが現状です。
2. 機能 (検知、封じ込め、調査、復旧)
業界最大規模のICTアドバイザリ企業であるGartner社の定義※1によると、EDRの主要な機能はエンドポイントでのセキュリティインシデントの「検知」とその後のインシデント対応(「封じ込め」、「調査」、「復旧」)です。しかし、EDRの中でも機能差があります。
EDRの大きなメリットの一つは、インシデント発生後の対応を支援するさまざまな機能を持っている点ですが、中には「調査」機能が非常に限定的なものや、「復旧」を支援する機能をほとんど持たないようなEDRもあるので注意が必要です。
3. ログの収集対象と保存場所
EDRは端末上のアクティビティの監視、記録をします。収集しているアクティビティは、EDRによってその対象、期間、保存場所が異なるので、これも重要な比較ポイントです。
収集している情報が限定的で、期間が短ければ十分な「調査」ができない可能性があります。すべてのアクティビティを漏れなく、また十分な期間保持できることが重要です。
また、ログの保持場所も「端末上」と「管理サーバー上」に分かれます。「端末上」にログがあれば常に最新のログでの解析や調査が可能ですが、オフライン状態の端末に対してはEDR機能を活用できません。
「管理サーバー上」にログがある場合では、すべてが最新の情報ではないですが、オフライン端末であっても最後にアップロードされたログをもとに「調査」を行うことが可能です。また、管理サーバー上で解析を行うので端末への負荷も小さくなります。
4. 対象環境とその影響
忘れてはいけない比較ポイントが「どんな端末環境で利用できるか?」ということです。ビジネスを取り巻くシステム環境は複雑の一途をたどっていて、様々なOSやミドルウェアが入り混じった環境を構築しているという企業がほとんどでしょう。
現状のシステム環境を改めて整理した上で、利用しているより多くの端末に対応したEDRを選びましょう。漏れなく監視を行うことが、強固なセキュリティ対策につながります。
しかし、監視対象となるクライアントにパフォーマンスの影響が出てしまっては本末転倒です。パフォーマンスは比較ポイントとして忘れられがちですが、確実にチェックしておきたいポイントの一つです。
5. 他社製品との連携
恐らくですが、初めて導入するセキュリティ製品としてEDRを選択するという企業は非常に少ないかと思います。アンチウイルスやファイアウォールなど、基本となるセキュリティ製品を既に導入していて、その上にEDRを導入するという企業がほとんどでしょう。
EDRではインシデント対応のために、それらのセキュリティ製品をシームレスに連携し、より強固なセキュリティ対策の実現や、運用の自動化・効率化を実現することが可能なものもあります。既存のセキュリティ製品からの情報を取り込み、それも含めてデータ分析を行うようなものもあるため、他社製品との連携はセキュリティレベルにも影響する重要な比較ポイントです。
6. サポート体制
EDRの中には、お客様のセキュリティ環境をエキスパートが監視し、最新の脅威を通知するというサービスがあります。たとえばCarbon Blackシリーズの「CB ThreatSight」というサービスは、Carbon Black社のセキュリティエキスパートたちが24時間365日体制でお客様のセキュリティ環境を監視するというものです。
自社独自のセキュリティ対策に不安がある場合などは、こうしたセキュリティサポート体制もしっかりと確認しておくことが大切です。必要に応じて監視サポートを受けることで、より強固なセキュリティ対策を講じて重大なセキュリティ事件を回避することができます。
テクニカルサポート体制についても、24時間対応や、日本語でのサポートがあれば安心して導入・運用ができるでしょう。
[SMART_CONTENT]
まとめ
EDRの比較ポイントについてご紹介しましたが、企業独自に最適なEDRを選ぶことは決して簡単ではありません。ネットワークバリューコンポーネンツではCarbon Black社のCB ResponseやCB Defenseを扱っています。EDR選びで迷った際はぜひご相談ください。セキュリティの要件やIT環境に合わせて最適なソリューションをご提案いたします。
※1 Named: Endpoint Threat Detection & Response (https://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/)
この記事に関するサービスのご紹介
CB Response
CB Responseは、エンドポイントのアクティビティ情報を集約することで、セキュリティ運用チームが脅威を発見し攻撃者の行動を追跡して攻撃を阻止するインシデントレスポンスに必要としている、一元化された脅威情報とレスポンスツールを提供するソリューションです。
詳細はこちら