情報化が進んだ現在、企業に対するサイバー攻撃を従来のセキュリティ製品だけで対応するのは難しくなっています。そんな中で注目を集めているのが、デバイスの異常を検知するEDRです。この記事では、EDRの仕組みや機能、アンチウイルスとの違いと、ウイルスの侵入経路と被害状況を把握するためのEDR調査についても解説していきます。
EDRとは、Endpoint Detection and Responseの略で、PCやスマートフォン、サーバーなどのデジタルデバイスで不正な活動を検知して管理者に通知するセキュリティ施策のこと。テレワークの普及などによる働き方の変化に伴い、エンドポイントと呼ばれるこれらデジタルデバイスのセキュリティを強化するEDRに注目が集まっています。
EDRとEPP、NGAV、NDRなどほかのセキュリティ製品との違いや、それぞれの特徴について解説します。
EPPとは、Endpoint Protection Platformの略で、一般的にはアンチウイルスソフトなどとも呼ばれます。家庭のPCのセキュリティ対策にも利用されていて、ウイルスの検知および駆除を行うソフトウェアです。EDRは脅威が侵入した後の被害を最小限に食い止めることを主な目的としていますが、EPP は脅威が侵入する前の防御を主な目的としていることが両者の違いです。
NGAVとは、Next Generation Anti-Virusの略で、次世代のEPPです。機械学習のテクノロジーを利用して、マルウェア(ウイルスなど悪意あるソフトウェア)に似た動きや特徴を持った異変に対して、検知と駆除を行います。 データベースにない未知のマルウェアにも対応できることが特徴ですが、EPPと同じく脅威が侵入する前の防御を主な目的としていることがEDRとの違いです。
NDRとは、Network Detection and Responseの略で、ネットワークにおいて不正な活動を検知して対処するセキュリティ施策のこと。EDRがエンドポイント、すなわちPCやサーバーなどのデバイスに対する施策であるのに対して、NDRはネットワーク、すなわち侵入後の通信の動きに対する施策であるという違いがあります。
未然に脅威の侵入を防ぐのではなく、防げなかった脅威に対してアプローチするEDRの重要性や、注目を集めている背景を解説します。
テクノロジーの進化によって、サイバー攻撃も高度化・巧妙化しています。セキュリティ側で対策を講じても、すぐにそれを上回る攻撃が発生してしまうため、侵入を完全に防ぐことは不可能に近い状況です。そのため、侵入されることを前提として被害を最小限に抑えるための仕組みであるEDRが重要視されてきています。
スマートフォンやタブレットなど、モバイル端末の普及も影響しています。企業のサーバーに社員のスマートフォンを介して侵入するケースや、街中のWi-Fi 環境を使って侵入するケースなども増えていて、従来のセキュリティシステムでは対応が難しくなってきています。
コロナ禍による働き方の多様化も要因のひとつです。リモートワークの普及によって在宅や外出先などの社外ネットワークで業務を行う機会が増えたことで、攻撃経路も多様化しました。このようなネットワーク環境において社内と社外を分ける境界型防御では限界があるため、「無条件に信頼しない」というゼロトラストの概念に則ったエンドポイントでのセキュリティ強化が必要です。
EDR製品は豊富にあり、製品ごとに特徴や費用も違うため、自社のセキュリティ事情に合った製品選びが重要です。なお、EPPとして普及しているツールがEDRの提供も兼ねる場合も出てきていますが、そういった製品の中にはEDR機能がやや不十分な場合もあるようです。本格的なEDRの機能が必要な状況であれば、EDR機能がメインの製品を選ぶなど、自社の事情や目的に応じた選定がポイントです。
EDRが何を調査するのか、その結果として何がわかるのかについて解説します。
EDR調査で不審な挙動や疑わしいプログラムを検知すると、侵害の起点となるアクティブなエンドポイント(端末)からラテラルムーブメント(横方向の移動)をキャッチアップできます。また、平時から過去一定期間のログを保持するEDRライセンスを導入していれば、検知した時点から遡ってプロセスを解析する事で、侵入経路の特定も可能となります。
EDR調査では検知したマルウェアの種類や侵入経路、情報漏洩の有無などの情報を収集して解析し、セキュリティ侵害の根本原因を特定して、被害状況を可視化することができます。
このようにメリットの多いEDRですが、いくつかデメリットも存在します。ひとつは、導入にコストがかかること。もうひとつは、運用にリソースを割く必要があることです。脅威が発生した際に対応するための知識や経験を持つ人材を確保して、早急に対応できる運用体制を整える必要があります。
そうしたデメリットを解消するために、FRONTEOの「サイバーセキュリティ調査パッケージ」をおすすめします。10,600件以上の不正調査実績を誇るFRONTEOが、複数の保険会社にも推奨されている高品質なサイバーセキュリティ調査を提供。PC1台から調査可能です。
EDR調査だけでなく、ダークウェブ調査までをワンパッケージでご提供します。Wi-Fi脆弱性調査やNDR調査、ペネトレーションテストなど追加調査も実施可能です。専門知識がある人材がいない企業の場合、有事対応の際のスピードや専門性に懸念が残ります。圧倒的な実績から得たノウハウをもとに、FRONTEOがサイバー攻撃被害の初期対応をサポートします。
→ 【関連記事】サイバーセキュリティ調査パッケージ 「サイバーセキュリティ調査パッケージ」のサービスサイト