エンドポイントセキュリティ聞くと、従来まではアンチウイルス製品を思い浮かべる方が多かったかと思いますが、ここ数年では「EDR (Endpoint Detection and Response)」ソリューションを思い浮かべる方が増えているのではないでしょうか。2023年になり、すでに日本国内でも多くの組織で当たり前のように導入が進められてきたEDRですが、一方でセキュリティ対策の強化のためにこのEDRを今まさに検討している組織の方もまだまだ多く見受けられるのも現状です。
EDRを例えると「超高性能セキュリティカメラ」と言えるでしょう。端末(エンドポイント)にインストールしたEDRセンサーが全てのアクティビティを監視、記録、収集し、解析します。その結果、不審な挙動をするような端末を検出し、管理者に通知します。さらにリモートでその端末に対する対応を支援する機能を提供します。
従来までのセキュリティ対策ではいかにマルウェアの感染や攻撃者の侵入を防ぐかということに重点が置かれていましたが、これと比較するとEDRは「感染・侵入されることを前提としている」というのがポイントです。セキュリティに100%の対策は無いと言われている以上、サイバー攻撃を未然に防ぐためのセキュリティ対策だけでは不十分であり、より現実的なアプローチと言えるでしょう。
本ブログではこれから新たにEDRソリューションの導入を検討している方々に向け、導入するEDRソリューションを比較検討する際に特に重要なポイントを紹介します。一口にEDRといっても様々な種類があり、環境や目的に合わせて適切なものが異なるので、この機会に比較ポイントを理解しましょう。
EDRの比較ポイント
それではさっそくEDRの比較ポイントをご紹介します。今回ご紹介する比較ポイントは以下の9つのポイントです。それでは順に紹介していきましょう。
- 提供形態 (クラウド or オンプレミス)
- ログの収集対象と保存場所
- EDRの必須機能 (検知、封じ込め、調査、復旧)
- 防御機能の提供可否とその方法 (AV/NGAV)
- ITハイジーン(資産管理)機能の提供可否
- 脆弱性管理機能の提供可否
- 自社環境への導入可否と導入による影響
- 他社製品との連携
- サポート体制や支援サービス
① 提供形態 (クラウド or オンプレミス)
現在のITソリューションの提供方法は大きく2つに分けることが可能であり、「クラウド提供」か、「オンプレミス提供」かの2つです。クラウドとはインターネット上でサービスとして提供されるソフトウェアやアプリケーションの総称であり、オンプレミスは従来通りの社内インフラ上に構築するシステムを指します。
ここ数年でクラウドでの提供がIT業界でのメジャーな選択肢となり、その利点はすでにみなさんご存じのことでしょう。社内インフラを構築する必要がなく、導入が迅速で初期投資を抑えること、あるいは稼働監視や定期的なメンテナンスにかかる運用コストが少ないというのが主な利点でしょう。
EDRにおいてもこのポイントは同じです。管理UIを提供する管理サーバーの提供形態がクラウド提供か、オンプレミス提供かは重要な比較ポイントになっています。
その中でも主流になっているのはクラウド型でSaaS提供されるEDRソリューションです。
EDRはエンドポイントに専用のエージェントソフトウェアをインストールし管理サーバーによる集中管理を行うのが一般的です。クラウド型EDRであれば、インターネット接続さえ可能な環境であればエンドポイントが社内ネットワークへの接続がなくても管理が可能です。つまり、社外に持ち出した業務端末も常に管理下におけるのが強力なメリットと言えます。昨今の働き方の変化、テレワークや在宅勤務の増加から、クラウド型のEDRを選択する組織が増えています。
クラウド型EDRの場合には、管理クラウドの所在も重要な検討ポイントと言えます。つまり日本リージョンのクラウドを活用してEDRが提供されているのか、それとも日本以外の海外リージョンのクラウドで提供されているのか、ということです。ベンダによっては日本リージョンの管理クラウドの提供がない場合もありますので、自社のクラウドサービスの利用に関するセキュリティポリシーと照らし合わせて確認することが重要でしょう。
一方で、完全オフライン端末への監視が必要な場合にはクラウド型では実現できないため、オンプレミス型が利用されるケースもまだまだあるのも現状です。
② ログの収集対象と保存場所
EDRはエンドポイント上のアクティビティの監視、記録をします。EDRによって収集しているアクティビティは、その対象(粒度)、期間、保存場所が異なるため、重要な比較ポイントと言えます。
EDRソリューションを導入する目的は、防ぎきれなかったサイバー攻撃を迅速に検出して対応することで被害を最小限に止めることにあります。そしてEDRの収集するアクティビティの粒度と期間は、この「検知」と「調査」に直接影響を与えるものです。収集している情報が限定的であれば十分な解析ができず「検知」ができない可能性があります。加えて、保持する期間が短ければ十分な「調査」ができない可能性もあるでしょう。すべてのアクティビティを漏れなく、また十分な期間保持できることが重要です。
ログの保持場所はEDRによって「端末上」と「管理サーバー上」に分かれます。「端末上」にログがあれば常に最新のログでの解析や調査が可能ですが、オフライン状態の端末に対してはEDR機能を活用できません。その一方で「管理サーバー上」にログがある場合では、すべてが最新の情報ではない可能性もありますが、オフライン端末であっても最後にアップロードされたログをもとに「調査」を行うことが可能です。また、管理サーバー上で解析を行うので端末への負荷も小さくなります。
ここで特に注意が必要なのは、「管理サーバー上」にログを保持する製品で、提供形態がクラウド型の製品です。先ほども記載した通り、管理クラウドが日本での提供がない場合がありますので、海外へのログ保存を禁止するセキュリティポリシーを持つ組織の場合には、事前に確認していくことが重要です。
③ EDRの必須機能 (検知、封じ込め、調査、復旧)
EDRの主要な機能は、エンドポイントでのセキュリティインシデントの「検知」とその後のインシデント対応(「封じ込め」、「調査」、「復旧」)です。ここ数年でEDRソリューションを提供する各ベンダは自社製品に対して様々な機能拡張を行ってきたことから、製品間での機能差分はほとんどなくなりつつあります。それでも、まだまだ十分な機能の提供ができていなEDRソリューションもあるので注意が必要です。
EDRの大きなメリットの一つは、インシデント発生後の対応を支援するさまざまな機能を持っている点です。EDRソリューションの中には「調査」機能が限定的なものや、「復旧」を支援する機能をほとんど持たないようなものもあります。想定している「調査」の対象がEDRソリューション自身で検出したアラートのみの製品もあり、全てのアクティビティログを保持していないために他の製品でのアラートや、従業員の方からの問い合わせなどで少しログを調べたい、といった場合に活用できないようなEDRソリューションもあるので注意が必要です。
④ 防御機能の提供可否とその方法 (NGAV)
先ほども記載した通りEDRは「検知」製品であり、利用している様々なセキュリティ対策をすり抜けて侵入してきた脅威を端末上でいち早く見つけるためのツールです。見つけた脅威は、担当者が手動で、もしくは他システムとの連携などによって封じ込め、止める必要があります。つまり運用が必要なツールなのです。
EDRの運用を効率化、改善するために、最近のEDRソリューションの中には同時により強力な防御機能として「Next Generation Anti-Virus(NGAV)」の機能を提供するものも多いです。NGAVとEDRの機能が同時に提供されることで、ネットワーク対策をすり抜けてエンドポイントに到達した脅威は「NGAV」で可能な限り直ちに防御され、それでも防ぎ切ることができなかった脅威をEDRで検出、対応していくということが可能になりました。つまり、対応が必要なインシデント数を減らす効果が期待できます。
EDRソリューションの中には、この「NGAV」の機能を標準で提供するものと、別製品、もしくは別ライセンスで拡張機能として提供するものがあります。いずれの提供形態でも「NGAV」と「EDR」がしっかりと連携して動作し、管理UI上に表示される製品であるのか、というのは実際の運用を行う上で重要なポイントです。
⑤ITハイジーン(資産管理)機能の提供可否
近年のEDRソリューションは、NGAV機能の実装にとどまらず様々な機能拡張の動きが見られます。その1つにITハイジーン(資産管理)機能の実装があります。
EDRの導入が進められる以前のエンドポイントセキュリティの主流はアンチウイルス製品であり、それ以外に資産管理やロックダウンのためのツールも導入されていました。これらのツールが従来提供していた機能を次々とEDRソリューションの機能として実装しているのが最新のエンドポイントセキュリティ対策ソリューションの現状となっています。
皆様の組織においても古くから資産管理ツールを利用していることではないでしょうか。EDRソリューションの中には、今利用しているツールの置き換えができるものがあるかもしれません。EDR機能のみの比較ではなく、EDR以外の機能にも目を向けて比較していくことも重要なポイントとなっています。
⑥脆弱性管理機能の提供可否
近年の機能拡張のもう1つ大きなものとして、エンドポイント内の脆弱性管理の機能があります。
攻撃者が攻撃を成功させるための重要なポイントが脆弱性であり、攻撃への予防策として組織内の脆弱性にしっかりと対応することが有効な手段です。ITハイジーン(資産管理)機能の一歩先の機能として、エンドポイントで利用されているOSやソフトウェアのバージョン情報をしっかりと管理し、脆弱性データベースと照らし合わせ、重大な脆弱性を含まれることが発覚した際には直ちに通知されるような仕組みを導入し対応していくことは、結果としてEDRにより検知される重大なインシデントの予防にもつながります。
ITハイジーン(資産管理)機能の比較に加え、脆弱性管理がどこまでできるかという観点での比較も、特に昨今のテレワークの普及で持ち出し業務端末に対する脆弱性管理が十分にできていないような組織においては重要と言えるでしょう。
⑦ 自社環境への導入可否と導入による影響
忘れてはいけない比較ポイントが「どんな端末環境で利用できるか?」ということです。ビジネスを取り巻くシステム環境は複雑の一途をたどっていて、様々なOSやミドルウェアが入り混じった環境を構築しているという組織がほとんどでしょう。それだけではなく、昨今ではコンテナや仮想基盤(ワークロード)、クラウド環境などさまざまな環境にシステムが構築されているのではないでしょうか。
現状のシステム環境を改めて整理した上で、利用しているより多くのエンドポイントに対応したEDRソリューションの選定が重要です。漏れなく監視を行うことが、強固なセキュリティ対策につながります。
しかし、監視対象となるクライアントにパフォーマンスの影響が出てしまっては本末転倒です。パフォーマンスは比較ポイントとして忘れられがちですが、確実にチェックしておきたいポイントの一つです。
⑧ 他社製品との連携
恐らくですが、初めて導入するセキュリティ対策製品としてEDRを選択するという組織は稀でしょう。アンチウイルスやファイアウォールなど、基本となるセキュリティ対策製品を既に導入していて、その上でより強固にするためにEDRを導入するという組織がほとんどです。
EDRではインシデント対応のために、それらのセキュリティ対策製品とシームレスに連携し、より強固なセキュリティ対策の実現や、運用の自動化・効率化を実現することが可能なものもあります。既存のセキュリティ対策製品からの情報を取り込み、それも含めてデータ分析を行うようなものもあるため、他社製品との連携はセキュリティレベルや運用負荷にも影響する重要な比較ポイントです。
⑨ サポート体制や支援サービス
EDRはこれまでの止めるためのセキュリティ対策製品とは異なり、防ぎきれない脅威を迅速に見つけて対応するためのツールです。見つけるためのソリューションであり、見つけた後はその対応が必要になります。つまり運用が必要になるわけです。EDRの運用は多くの組織ではこれまで経験したことのない、新しい業務になるでしょう。組織内に必ずしも十分な専門スキルを持つ人材がいるとは限らず、セキュリティ人材が不足しがちな昨今の多くの組織の状況を鑑みると、どのようなサポートを受けることができるのか、どういった支援サービスが提供されているのかということも、EDRを選定する上で重要なポイントです。
EDRを提供するベンダや販売代理店、サービス事業者の中には、お客様のセキュリティ環境をエキスパートが監視し、最新の脅威を通知するというサービスを提供している企業が多々あります。一般的にはSOCサービスと呼ばれるようなものです。ただ通知するだけではなく、実際に発生したインシデント対応の支援や、その代行まで行うMDRサービスを提供するベンダや販売代理店、サービス事業者も増えてきています。
自社での対応に不安がある場合などは、こうしたセキュリティサポート体制もしっかりと確認しておくことが大切です。必要に応じてサポートを受けることで、より強固なセキュリティ対策を講じて重大なセキュリティ事件を回避することができます。
テクニカルサポート体制についても、24時間対応や、日本語でのサポートがあれば安心して導入・運用ができるでしょう。
まとめ
EDRソリューションの選定における比較ポイントについてご紹介しましたが、独自に最適なEDRを選ぶことは決して簡単ではありません。ネットワークバリューコンポーネンツではVMware社のVMware Carbon Black CloudやVMware Carbon Black EDR、Trellix社のTrellix(旧FireEye) Endpoint Securityなど複数のEDRソリューションを扱っています。EDR選びで迷った際はぜひご相談ください。セキュリティの要件やIT環境に合わせて最適なソリューションをご提案いたします。
