ここ最近、SBI証券の不正アクセスによる約1億円の流出事件、LINEの74,000アカウントへの不正アクセス、ドコモ口座の不正アクセスなど、毎日のように不正アクセスに関するニュースを目にするようになりました。
そこで今回は、不正アクセスなどのサイバー攻撃に有効な対策として注目されている「EDR」について紹介します。
EDRとは
EDR(Endpoint Detection and Response)は、エンドポイントに侵入したマルウェアなどによるサイバー攻撃をいち早く検知し、必要な対処を講じるためのシステムです。
従来のセキュリティシステムは、サイバー攻撃などの脅威が自社のネットワーク内に侵入することを防ぐことが主な目的でしたが、EDRはネットワークに接続されたPCやスマートフォンなどのエンドポイントに専用のソフトウェアやセンサーを導入することで、常に端末の動作を監視します。そして、監視中の端末から異常信号、挙動不審な動作を検出した際には、即座に脅威の分析を行い、端末をネットワークから隔離するなどの対処を行います。
EDRとEPPの違いは?
EPP( Endpoint Protection Platform)は、「エンドポイント保護プラットフォーム」と訳され、EDRと同じくエンドポイントのセキュリティシステムのことです。
しかし、EPPは脅威が「侵入する前段階」での防御を主な目的とするシステムであるのに対し、EDRは「脅威が侵入した後」の被害を最小限に食い止めることを主な目的としたシステムという点で違いがあります。
EPPを代表するシステムには、アンチウィルスソフト、NGAVなどがあります。以下では、それぞれについて簡単に紹介しましょう。
アンチウィルスソフト
一般家庭のPCのセキュリティ対策にもよく利用されているアンチウィルスソフトでは、「パターンマッチング方式」という技術を用いられています。パターンマッチング方式は、ソフトベンダーのデータベースに登録されたマルウェアの特徴的なコードをパターン化し、これを使って脅威の特定、駆除、隔離、削除といった対策を行います。そのため、データベース上にある既知の脅威に対しては強い反面、未知の脅威には効果を発揮することができません。
NGAV(Next Generation Anti-Virus)
NGAVはアンチウィルスソフトを進化させたもので、既知の脅威への対策に加え、マシーンラーニング(機械学習)を使って、未知のマルウェアの不審な動作を検知、ブロックします。
EDRのおもな機能
EDRには、主に以下のような機能があります。
監視機能
エンドポイントに導入した専用のソフトウェアやセンサーで、ネットワークの接続ログ、ファイル操作ログ、レジストリの変更ログなど各種プロセスのログを常時監視し、マルウェアなどの脅威を検知します。
分析機能
マルウェアなどの脅威を検知すると、データベースに登録された脅威に関する最新情報をもとに分析を行い、脅威が発生したエンドポイント、侵入経路、被害の状況などを特定します。続いて、これらの情報を視覚化されたデータでセキュリティ担当者に通知します。
脅威への対処(インシデント対応)機能
脅威が検知されると、その問題が解決されるまでネットワークを切断、アプリケーションの非アクティブ化、脅威にさらされているプロセスの自動停止、セキュリティ担当者による該当端末のリモート停止などを行います。
パッチ配布などの予防機能
エンドポイントにインストールされているアプリケーション情報を取得し、バージョンアップやパッチ更新がないかを監視しながら、必要に応じて最新版を配布します。それにより、端末をアプリケーションの脆弱性から予防します。
管理コンソール機能
エンドポイントの稼働状況をモニター上でわかりやすく表示します。脅威を検知した際の分析結果をモニター上で確認するとともに、レポートを作成することもできます。
EDRはなぜ必要か
これまでのセキュリティ技術では、インターネットと企業や組織のネットワークの境界にセキュリティシステムを設置し、マルウェアなどの脅威の侵入を防ぐものが主流でした。そこへ登場したのがEDRですが、EDRが必要になったのは次のような要因があります。
サイバー攻撃の高度化
サイバー攻撃は常に進化を続けており、その手口はますます巧妙化しています。侵入段階では検知されにくいマルウェアの攻撃や、ATP(Advanced Persistent Threat)とよばれる標的型のサイバー攻撃など、もはやエンドポイントへの侵入を完全に阻止することは不可能になっています。
モバイルデバイスの普及
スマートフォンやタブレットといったモバイルデバイスの普及により、例えば社員のスマートフォンを介して企業のPCやサーバーに侵入する例もあります。さまざまなWifi環境が整備されるにつれて、感染経路や侵入経路も多様化しており、従来のセキュリティシステムでは対応できなくなってきています。
テレワークの普及
働き方改革や新型コロナウイルスの影響により、テレワークを採用する企業や組織が増えたことも、EDRが必要とされる要因のひとつです。テレワーカーの端末に対策がなされていなければ、ネットワークを経由した脅威の侵入やデータ流出の危険性が高まります。
また、テレワーカー自身による不正アクセスも監視する必要があります。EDRを導入することで、こうしたことをいち早く検知し、セキュリティ管理者が対象の端末をネットワークから隔離する、あるいは端末をシャットダウンするといった措置を行うことができます。
EDRの運用体制
EDRは、エンドポイントに侵入したマルウェアなどの脅威をいち早く検知することが目的であり、マルウェアの感染自体を防ぐ機能はありません。
EDRを運用するセキュリティ管理者には、EDRが検知し、通知してきた内容から、脅威の侵入経路、活動内容などを把握し、適切な措置を講じるとともに、再発防止のための施策を立案、実行できるだけの知見とスキルが求められます。企業や組織内にこのような人材が不足している場合には、アウトソーシングを検討する必要があります。
EDRは、多くのベンダーから提供されています。国内でシェアが高い「Cybereason EDR」、EPPとEDRの機能を兼ね備えた「Cisco AMP for Endpoints」、アンチウィルスソフトでおなじみのトレンドマイクロ社の「Trend Micro Endpoint Sensor」などがあります。
なお、EDRの導入コストはエンドポイントの数、利用状況などで変わってくるため、事前によく確認しておく必要があります。
EPPとEDRで行うセキュリティ対策
とどまることのないサイバー攻撃の進化によって、もはやEPP、EDRのいずれか一方だけで万全なセキュリティ対策を実施することは困難になっています。まず、EPPで脅威の侵入を防ぎ、万が一EPPをすり抜けてきた場合でも、EDRで脅威を早期に検知するのが正しいセキュリティのアプローチです。城に例えれば、EPPという城壁でほとんどの敵を阻止し、もし城内に侵入された場合は、城内の見廻り役であるEDRが発見するということです。
毎日のように数万単位の種類のマルウェアが出現していますが、既知のマルウェアであれば、ほとんどはEPPで防ぐことができます。しかし、EPPをすり抜けてエンドポイントに侵入するマルウェアがあるのも事実です。EDRを活用したセキュリティの強化は、もはや必須の経営課題です。
