フロスト&サリバンのSWGにおいてイノベーター及びリーダーと評価されました
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 6月 13, 2023
Share this article
EDRとは「Endpoint Detection and Response」の略で、PC・スマホなどのエンドポイントにおける脅威の検出や対処を行うセキュリティシステムのことです。サイバー攻撃が多様化し、より高度なセキュリティ対策が必要とされている現代において、EDRをはじめとするエンドポイントセキュリティは注目されています。
この記事では、EDRの基本情報に加え、選ぶ際のポイントや運用時の注意点について詳しく解説します。自社のセキュリティ対策をより強固なものにしたいと考えている方は、ぜひ参考にしてください。
目次
EDRとは、PC・スマホなど「エンドポイント」の操作や動作を監視して、脅威の検出や対処を行うセキュリティシステムです。EDRの名前は「Endpoint Detection and Response」の頭文字を取っています。
EDRの特徴は端末がサイバー攻撃を受けることを前提として、疑わしい挙動から脅威の検知を図る点です。EDRが脅威を検知した場合には「サイバー攻撃」と疑われる通信・プロセスを遮断するとともに、動作痕跡を記録します。
EDRは、従来型の製品とは異なる視点のアプローチでセキュリティ課題の解決を図れる選択肢として、注目を集めています。そのEDRが注目されるようになった背景にある事象は主に、以下3つです。
近年ではサイバー攻撃の手口が多様化かつ高度化している状況です。また、サイバー攻撃による被害は後をたたず、2022年の不正アクセス認知件数は2,200件にものぼります。
出典:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
サイバー攻撃を受けた場合には情報漏えいなど、会社の信用低下につながる被害が発生しかねません。近年では奪取した機密情報を人質として、多額の身代金を要求する手口もあります。
しかし、従来型のセキュリティ対策製品で被害を完璧に防止することは困難です。そのため、サイバー攻撃の脅威に対応するための手段として、EDRが注目されはじめました。
近年では働き方改革の影響も受けて、モバイル端末のビジネス利用を進める会社が増加しています。過去には安全面への配慮から推奨されにくかった「BYOD(私物のスマホ、タブレットを業務に活用する選択肢)」を会社として認めることも、現在では珍しくありません。
しかし、私物を含めたスマホやタブレットのビジネス利用が一般化すると、モバイル端末を経由したサイバー攻撃の被害事例も増加する可能性があります。被害を防止するためにはEDRなど、感染経路や進入経路の多様化に対応したセキュリティ対策の検討が必要です。
新型コロナウイルス感染症拡大防止対策としてリモートワークが急速に普及した結果、個人端末を仕事に利用する事例が増加しました。また、リモートワークで仕事を進める際には、社外のネットワークも利用します。時代の変化に応じた方法で安全に働ける環境を整備するためには、従来型のセキュリティ対策のみでは不十分です。
EDRは個人端末にも導入できることから、時代の変化に応じた働き方に対応するセキュリティ対策としての役割が注目されます。従来型のセキュリティ対策とEDRを組み合わせればリモートワークの安全面を強化でき、時代の変化に応じた働き方を行う従業員の不安軽減を図れるでしょう。
端末にインストールするタイプのEDRでは対策の対象とするエンドポイントに「EDRセンサー」と呼ばれるモジュールを導入し、常時ログを収集して、監視します。収集されたログは管理サーバーへと送信され、データとして蓄積される仕組みです。
監視中に異常信号や疑わしい挙動が検出された場合には、管理者へと通知されます。通知を受けた管理者は蓄積されたデータも活用しつつ脅威の分析を行って適切な対応を検討し、行動に移すことで、被害の拡大を防止できます。
EDRには主に、エンドポイントの監視と脅威の検知などの機能があります。インシデントが発生した場合には解決までの期間、自動で一定の対応を取ることも、EDRの特徴的な機能です。
以下ではEDRの機能や期待される効果を、より詳しく紹介します。
EDRにはエンドポイントに導入したモジュールによって各種ログを収集して、監視を行う機能があります。以下は、EDRが監視目的で収集する各種ログの一例です。
EDRが監視目的で収集する各種ログの例
上記をはじめとする各種ログは管理サーバーに集約された上で、サイバー攻撃の兆候検知に活用されます。また、EDRでは特定組織を狙う「標的型攻撃」の兆候も検知することが可能です。
EDRが脅威を検知すると管理サーバーに収集したデータをもとに、侵入経路や被害状況を分析します。分析結果は見やすい形に編集された上で管理者に通知されるため、スムーズな状況把握が可能です。
EDRが脅威に関する分析を行う際には、サイバー攻撃に関する最新の情報が反映されているベンダーのシステムも参照します。そのため、管理者は、最新の手口による脅威も考慮された分析結果をもとにして、適切な対処法の検討が可能です。
EDRが脅威を検知した場合には分析を進めるのみではなく、以下のインシデント対応を行います。
EDRのインシデント対応の例
EDRによって早急なインシデント対応を行えば、被害が拡大することで生じる業務の混乱を回避できます。また、サイバー攻撃の被害が拡大すれば多くの場合、より重大な損失を避けられません。EDRで被害の拡大を防止できると損失を最小限に抑えて、事後対応にかかるコストの削減を図れるでしょう。
EDRが収集するデータは、サイバー被害の予防対策にも活用されます。EDRには端末にインストールされているアプリケーションの状態を監視し、脆弱性対策を行う機能があるためです。たとえば、古いバージョンのアプリケーションが使用されている場合には必要に応じてアップデートを行い、最新の状態に維持してくれます。
アプリケーションのアップデートを怠ると脆弱性を悪用したサイバー攻撃を受けるリスクが高まることから、常に最新の状態を維持することは大切です。EDRを導入すればアップデートが従業員任せにならないため、セキュリティ対策の強化を図れます。
EDRとEPPはいずれも、スマホやPCなどの端末をサイバー攻撃から保護するためのセキュリティシステムです。ただし、EPPはウイルスやマルウェアの侵入を防止する水際対策に重点を置くシステムにあたり、EDRとはコンセプトが異なります。
EPPは悪意のある活動を起こさせずにマルウェアなどを駆除することが前提のシステムであるからこそ、被害の検知や事後対応などの機能を持ちません。復旧措置を支援する機能も含まれないため、狙い通りの効果を発揮しなかった場合、影響範囲が拡大する可能性もあります。
EPPには、AV(アンチウイルスソフト)・NGAV(Next Generation Anti-Virus)などの種類があります。
振る舞い検知とは、悪意のあるプログラムの特徴をもとに疑わしい挙動を探し、早期の検知を図る手法です。AVには未知のマルウェアに対応できない弱点があったため、NGAVでは振る舞い検知も活用することで、対応範囲が拡大されています。
しかし、未知のマルウェアは巧妙な手口でエンドポイントへの侵入を図るケースも多く、NGAVをもってしても多くの場合、完璧なリスク回避は不可能です。EPPをすり抜けたマルウェアを放置すれば特定の端末内で起こった被害が企業ネットワーク全体に拡大し、大きな損失につながる恐れがあります。
これらの理由から、エンドポイントに対してより強力なセキュリティ対策を行いたい場合には、EDRとEPPの併用を検討しましょう。EPPで防御しきれずにマルウェアなどが侵入してもEDRで迅速な対応を取れば、会社に対する被害の最小化を図れます。
EDR製品にはさまざまな種類があるため、「どれを選択すべきか」で迷うセキュリティ担当者もいるでしょう。EDR製品を比較検討する際に注目すべき6つのポイントを把握し、特徴を正しく理解した上で自社に合うものを選択するためのノウハウを身につけてください。
EDRの検知方法は、エージェント型とエージェントレス型に分類できます。EDRを導入する際にはいずれが望ましいかを考えた上で、比較検討する際の判断基準に加えてください。
エージェント型とは端末などにインストールして導入するタイプ、エージェントレス型とはインストール不要で導入できるタイプにあたります。エージェント型では対象とする端末ごとにインストールする手間がかかるものの、収集した情報をクラウド上で一括管理することが可能です。エージェントレス型は導入作業の工数を削減できる反面、エージェント型と比較して通常、収拾できる情報量が限定されます。
EDR製品を導入すると運用コストがかかるため、事前に見積もりを取り、予算の範囲で継続できるものを選択しましょう。EDRの運用コストは、契約端末の台数や利用する機能に応じて変化します。ベンダーに見積もりを依頼する際には上記を明確に伝えると、運用コストの正確な把握が可能です。
また、EDRを導入する際には導入コストも必要です。導入コストの相場は提供形態などに応じて変化するため異なるタイプのEDRを単純比較することは避けつつ、コストパフォーマンスの良いベンダーを選択しましょう。
EDRの運用には専門的な知識やノウハウが必要です。EDRに精通した人材が会社内にいない場合は、サポート体制が充実しているベンダーを選択しましょう。
また、自社に適した支援を受けるためには、サポート内容の詳細を事前に確認することが必要です。たとえば、EDR製品を提供するベンダーの中には専門家チームがセキュリティ環境を監視して脅威を検知してくれる、手厚い支援を提供する会社もあります。中には被害が発生した場合の対応方針決定や代行までをサポートする会社もあるため、詳細を聞き、自社に適したパートナーを探してください。
EDRの提供形態は、クラウド型とオンプレミス型に分類できます。それぞれの特徴は、以下の通りです。
トレンドとしては上記のうち、クラウド型が主流ですが、オンプレミス型にもメリットはあるため、自社に合う提供形態を選択しましょう。
EDRで検知した脅威に対する事後対応は原則、他のツールもしくはセキュリティ担当者の手作業で行う必要があります。事後対応に他のツールを活用する場合にはEDRの導入前に、連携可否を確認しましょう。
また、EDRの中には既存のツールやシステムから情報を取り込み、データの分析に活用するものもあります。既存のツールとの相性が悪いと連携前提のソリューションを提供するEDRは有効に機能しにくいため、注意しましょう。
近年ではビジネスを取り巻く環境が複雑化しており、さまざまなOSやミドルウェアを活用している会社も多くあります。EDRを比較する際には「どのような端末環境で利用できるか」を確認し、導入しやすいシステムを選択しましょう。自社で特殊なOSを使用している会社では特に、事前の確認が不可欠です。
EDRをスムーズに導入して安全に運用するためには、いくつかの注意点を把握しておく必要があります。EDRを有効活用してセキュリティ対策を強化するために把握すべき代表的な注意点は、以下4つです。
EDR製品を導入する際の狙いは主に、サイバー攻撃を受けた後にスムーズな対応を取り、被害拡大を防止することです。そのため、EDR製品のみを導入しても、マルウェアの侵入・攻撃そのものは防げません。侵入・攻撃そのものを防ぎたい場合は、EPPとの併用による総合的な対策を検討しましょう。
一部のベンダーでは、EPPとEDRを組み合わせたエンドポイントセキュリティソリューションも提供します。自社の既存の体制も考慮した上で必要があれば、総合的なソリューションの導入も検討しましょう。
EDRのデータ収集では多少なりとも、既存の業務環境に負担をかけるリスクがあります。特に端末のCPUやメモリは、EDRによって過剰な負担がかかりやすい部分です。EDR製品の導入前に考えられる負担を適切に見積もり、許容範囲であることを確認すれば、悪影響を回避できます。
また、EDRがエンドポイントから収集する膨大なログは自社のネットワークに、過剰な負担をかけかねません。負担を見積もる際には、自社のネットワークに悪影響が及ばないことも確認しましょう。
EDR製品を導入した会社の一部では、「頻繁に届く通知に対して適切な対処が取れない」などの理由で、効果的な運用を行えていません。EDRによる脅威の通知の頻度や件数は検出ルールを調整すれば、減らせるケースも多くあります。ただし、検出ルールの調整には、EDRに関する十分な知識やスキルが必要です。適任者が社内にいない場合は、EDRを効果的に活用できない可能性があります。
適任者がいない状態でもEDRを導入し、効果的に運用するためには、アウトソーシングを活用する方法が選択肢の1つです。もしくは、サポート体制が充実しており、運用中に感じる問題点の解決を後押ししてくれるベンダーを選択しましょう。
EDR製品は、他のセキュリティツールと組み合わせて導入・運用することが推奨されます。すでにEPP製品を活用している会社の場合は既存の体制を維持しつつ、EDR製品によってセキュリティ対策を補完する選択肢を考えましょう。
ただし、既存のツールとEDRを併用する場合には、連携可否の確認が必要です。 既存のツールとEDRをつなぎ目なく連携させられると効果的に、セキュリティ対策を強化できます。
また、EDRと併用できるセキュリティツールは、EPPのみではありません。たとえば、システム環境全体を監視できる「SIEM」と併用する方法もあります。EDRを導入する際には「何と併用するか」を事前によく考えましょう。
EDRの機能には、ログの監視・検知や分析のほか、インシデントが起きた際の対応や、予防が含まれます。一方で、EDRは侵入した脅威への対処を得意とするものの、侵入を防止する働きはありません。端末を保護するためには、EPPを併用することが望ましいでしょう。
EDRを選ぶ際は、検知方法やコスト、サポート体制などを加味しながらベンダーを選ぶ必要があります。また、運用する際は、環境への負荷や人材確保などにも配慮しましょう。
Eliminating SOC fatigue in today’s distributed, hybrid workplace
見逃し配信:過去のウェビナーをオンデマンドで公開しています
Posted by Menlo Security on 6月 13, 2023
Tagged with
Cybersecurity Strategy
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。
