サイバー攻撃は年々強くなってきており、セキュリティ対策ソフトを企業で利用しているパソコンやサーバーに入れるだけでは攻撃を防げないことも増えています。
そこで今回は、サイバー攻撃やマルウェアの侵入を受けた際に被害を最小限に抑え、復旧までしてくれる「EDR」についてご紹介いたします。
EDRとは、「Endpoint Detection and Response(エンドポイント・ディテクション・アンド・レスポンス)」の略で、「サイバー攻撃が確認された際に、遠隔で対処するエンドポイント・セキュリティ・ソリューション」のことを指します。
EDRを活用することで、ネットワークに接続されているPCやサーバーなどのエンドポイントにおける操作や動作を監視し、サイバー攻撃やマルウェア侵入などのインシデント発生を検知、対処することができるようになります。
EDRの基本的な機能は、「検知」「隔離」「調査」「復旧」の4つのフェーズに分かれています。
ログを常に収集し、監視することで、サイバー攻撃に気付くことができます。
第一フェーズは、「検知」です。
検知では「端末のハッシュ値やIPアドレス、ドメイン名などを、既にマルウェアとして報告されている情報とすり合わせる」「エンドポイントの振る舞いを確認し、あらかじめ定義された不審な動きと照合する」「AIを使った機械学習を活用する」などが行われます。
多くのEDRでは、自動検知された不審な挙動は管理者に対して、レポートやアラートとしてすばやく通知されるようになっているため、インシデントへの迅速な対応を可能にします。
第二フェーズは、「隔離」です。
第一フェーズの検知と同時に自動でプロセスを停止したり、攻撃を受けた端末のインターネット接続を管理者が停止したりすることで、感染したエンドポイントのみにマルウェアを封じ込め、感染拡大による2次・3次被害を防ぎます。
第三フェーズでは、エンドポイントのログ情報をもとにマルウェアの侵入経路や感染原因、被害範囲などを調査し、マルウェアの概要について分析を行います。
そして最後の第四フェーズでは、第三フェーズの調査をもとに、特定の危険なファイルの選定や削除を行います。
詳しく特定ができれば、復旧に必要となる最低限の作業で素早くインシデントに対応できます。
EDRと似た言葉に「EPP」があります。
EPPは「Endpoint Protection Platform」の略で、エンドポイントにインストールすることでエンドポイントを保護するセキュリティソフトウェアのことです。
EPPはサイバー攻撃などのインシデントを未然に防ぐために使われているものに対し、EDRは侵入されることを前提とした対策を行うことで端末を保護するというところに違いがあります。
「EPPを導入しているからEDRはなくても大丈夫だろう」「EDRを導入しているから、万が一マルウェアに感染してしまったとしても被害は未然に食い止められる」と考えている企業がまだまだ多いですが、予算や運用体制が許すのであればEPPとEDRは両方導入することが望ましいです。
マルウェア対策の基本は、まず検知率の高いEPPを導入し、マルウェア感染を未然に防ぐことです。その上で、万が一すり抜けてしまったマルウェアをEDRで検知し、速やかに対応するのが理想の形です。
EDRでは、マルウェアの侵入後に素早く検知・分析し、復旧させることができます。
EPPやその他ソフトウェアで未然に侵入を防ぐことが出来なかったマルウェアやウイルスをいち早く検知・除外できます。
EDRは、マルウェアの検知から復旧までの一連の流れを迅速に行うことができるため、インシデントの被害を最小限におさえることができます。
EDRにはマルウェアの侵入経路や広がり方などを見ることができる、可視化機能がついているものも多くあります。
この可視化機能を活用すれば、マルウェアが侵入した原因や侵入による影響の範囲を簡単に特定できます。
これまでインシデントに対する高度な分析や対応は、豊富な知識と高い技術を持ったSOC*が担っておりコストが高くなってしまっていました。
EDRでは、SOCに相当するレベルのセキュリティ対策が可能であるため、SOCを持つよりも安価におさえることができます。
また、EDRではログを収集しているため、ログの内容を様々な角度から可視化・分析できます。
インシデントの原因や影響範囲の特定から事後対応までをスムーズに行えるようになり、業務効率化に繋がります。
*SOCとは、「Security Operation Center」の略で、サイバー攻撃の検知や分析を行い、その対策などを専門とする組織のこと。
EDRにおけるログ監視のための管理サーバーには、自社にサーバーを置くものと、クラウドタイプのものがあります。
環境や予算に合わせて選ぶようにしましょう。
また、EDRによって対応しているサーバーやOS、端末、EPPが異なってきます。
導入する前に、対応しているシステムの環境を確認し、自社に合うものを選びましょう。
今回は、サイバー攻撃などのインシデントに素早く対応できる「EDR」についてご紹介いたしました。
「検知」「隔離」「調査」「復旧」の4つの仕組みを駆使することで、SOCに相当するレベルのセキュリティ対策をすることができます。
自社にサーバーを置くタイプはもちろん、クラウドタイプも存在するので、自社に合ったEDRを選択しインシデント0を目指していきましょう。