防御だけでなく、検知・対応も
従来、セキュリティ対策といえば、ファイアウォールや侵入防御システム(Intrusion Prevention System; IPS)等、内部に侵入されないための防御が中心でした。しかし、標的型攻撃のように高度な攻撃が発生する昨今では、侵入を100%防ぐことは困難です。37%のマルウェアは一度しか使用されないというデータ(※1)からも、次々に新たなマルウェアが登場し、完全な防御は困難であることが分かります。
そのため、侵入されることを前提とし、いち早く検知・対応するための対策が注目されています。米国NISTでは、これらの対策の全体像をCybersecurity Frameworkとして規定しています。(図1参照)
図1:NIST「Cybersecurity Framework」の概略
EDRとは
前記背景から、近年、EDR(Endpoint Detection and Response)と呼ばれるセキュリティ対策が注目を浴びています。EDRとは、エンドポイント(※2)への攻撃を「検知」し、「対応」することに長けたソリューションであり、一般的には以下の機能を備えています。(※3)
- 1.インシデントの検知
- 2.インシデントの調査
- 3.インシデントへの対応(感染拡大防止等)
一方、同じくエンドポイントでのセキュリティ対策として、従来の「アンチウイルス」があります。アンチウイルスは既知のマルウェアをシグネチャと呼ばれる特徴データにより検知・ブロックすることには優れている一方、攻撃者の創意工夫や行動パターンは考慮しないため、昨今の高度な攻撃を検知できない場合が増加してきています。(※4)
EDR導入のメリット
EDRの各機能に着目し、導入のメリットを考えてみましょう。
1.異常をいち早く検知可能
EDRは従来のアンチウイルスと比べ、エンドポイントに関する非常に多くの情報(例えば、IPアドレス、動作中のプロセス、ポートの開閉状態など)を取得します。この情報量の多さが、早期検知に大きく貢献します。
2.迅速かつ詳細な調査が可能
ファイアウォール等ネットワーク境界に設置されるセキュリティ機器のログからは、エンドポイント上の事象を詳細に調査できません。EDRではエンドポイント特有のデータを取得するため、詳細な調査が可能です。例えば、マルウェア感染の場合、侵入・感染・感染拡大・情報窃取の一連の流れをタイムラインで表示することができます(図2参照)。さらに、ログをリモートで取得可能なため、エンドポイントを現地に回収しに行く手間が掛からないことも迅速性に大きく貢献します。
図2:マルウェア感染のタイムライン表示例
3.迅速かつ正確な感染拡大防止が可能
マルウェア感染時には被害拡大防止のため、感染したエンドポイントをネットワークから切り離す、またはマルウェアを除去する等の対応が必要です。これらを一般ユーザが実施する場合、時間を要したり作業に漏れが発生したりすることが懸念されます。EDRではこれらの対応をリモートで管理者が実施するため、迅速かつ確実な対応が可能です(図3参照)。
図3:管理者がリモートで感染拡大防止対応を実施
EDR導入における留意点
EDR導入の留意点を2点挙げます。
1.従来のセキュリティ対策との連携
EDRの対応範囲は広く、万能な対策に見えるかもしれませんが、従来のセキュリティ対策が不要になるというわけではありません。エンドポイントの前段となるネットワークでの防御はファイアウォールやIPS、エンドポイントでの防御はアンチウイルス、防御をすり抜けた攻撃の検知・対応をEDRといった適材適所の役割分担が強固なセキュリティを実現します。
図4:役割分担の例
2.マネージドサービスの活用
EDRを導入するだけでは何も起こりません。インシデント対応要員を確保し、EDRを使いこなせるようトレーニングし、運用する必要があります。これらを自社で実現することが困難な場合、EDRベンダが提供するマネージドサービスを活用すると良いでしょう。インシデント検知時の通知はもちろん、その後の対応までサポートを受けることが可能です。
まとめ
昨今のサイバー攻撃は防ぎきることは困難です。「防御」のセキュリティ対策を実施済であっても、EDRのような「検知」「対応」のセキュリティ対策を検討していく必要があるでしょう。NTTデータでは従来の「防災」だけでなく、24時間365日来襲するサイバー攻撃に対して、万が一攻撃を受けたとしても、迅速な検知と対応によって被害を最小化する「減災」を実現するEDRの取り組みを進めています。
- ※1 Verizon, ”2018 Data Breach Investigations Report”
- ※2 エンドポイント:端末やモバイルデバイスの総称
- ※3 Infosec「EDR(Endpoint Detection and Response)とは?」
https://www.infosec.co.jp/column/287.html(外部リンク) - ※4 cybereason「EDRとは何か?~EDRの基礎知識」
https://www.cybereason.co.jp/blog/edr/2224/(外部リンク)