サイバー攻撃の手口が巧妙化している昨今、脅威の侵入すべてを防ぐことは難しいのが現状だ。そこでいま、侵入後の対策を主機能とするセキュリティ製品として注目を集めているのが"EDR(Endpoint Detection and Response)"というソリューションである。本連載では、標的型攻撃に代表される高度なサイバー攻撃への対策に有用とされるEDRの解説と、導入検討に役立つ製品の比較ポイントの紹介を中心に、エンドポイントセキュリティの新定番たるEDRを徹底解剖したい。

事前対策に加えて事後対策の必要性が叫ばれている理由とは

標的型攻撃やランサムウェアをはじめとして、サイバー攻撃はますます高度化・巧妙化しており、いまや企業経営の屋台骨まで脅かしかねない最重要リスクの1つとなっている。このサイバー攻撃のターゲットとなるのが、企業が保持するさまざまな「情報」である。

それは、決算などに関わる情報、新技術や新製品に関する情報、そして顧客や取引先、従業員の個人情報など、あらゆる機密情報におよぶことになる。もしも、こうした情報がサイバー攻撃によってひとたび流出してしまえば、企業が被る損害は計り知れないものとなり得ることは、実際の情報漏えい事件からもおわかりいただけるのではなかろうか。

  • サイバー攻撃は多様化・巧妙化しており、常に危険にさらされている

    サイバー攻撃は多様化・巧妙化しており、常に危険にさらされている

このような動向を受けて、国も企業に対し情報セキュリティ対策の徹底を促しているが、なかでも着目すべきなのが、経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した「サイバーセキュリティ経営ガイドライン」だろう。

経営者がサイバー攻撃から企業を守るための理念や行動を記したこのガイドラインは、2017年11月に改訂され「V2.0」となったが、V1.0から重要な変更がいくつかあった。そのなかでも最大の変更点といえるのが、「攻撃の検知」に関する、「サイバーセキュリティリスクに対応するための仕組みの構築」など事後対策の重要性と必要性についての記述が大幅に追加されたことである。経済産業省では改訂の理由について、昨今のサイバー攻撃の巧妙化により事前対策だけでは対処が困難となっていることを強調しているのだ。

  • 標的型攻撃をモデルにしたサイバー攻撃対策の勘所

    標的型攻撃をモデルにしたサイバー攻撃対策の勘所

従来の情報セキュリティ対策では、サイバー攻撃による自社への侵入を防ぐための事前対策を重点的に行っていた。しかし前述のようなサイバー攻撃の巧妙化により100%侵入を阻止することは難しくなってきている。そこで、サイバー攻撃により侵入されてしまう可能性があることを前提とし、もし侵入されてしまったとしても、侵入をいち早く検知して状況を把握し、迅速かつ適切な対応をとることで被害を最小限に抑えるという事後対策もまた、事前対策と同様にいまの企業には強く求められているというわけだ。

一大ブームを巻き起こしている「EDR」

この事後対策を効果的に実施するには、それを実現するソリューションの活用や日頃からの体制の整備と運用が必要となってくる。なかでも必須となるソリューションとして多くの企業が導入を進めているのが「EDR(Endpoint Detection and Response=エンドポイントでの検知と対応)」だ。

EDRは、PCやサーバーなどのエンドポイントにおける脅威を検知し、インシデントレスポンスを支援するセキュリティソリューションである。エンドポイントの挙動(ログ)の詳細な調査により、既に侵入し潜伏している攻撃者(脅威)の「検知」や、インシデント発覚後の被害実態調査や原因究明といった「対応」を行うことを可能にする。

  • サイバー攻撃のステップと対策

    サイバー攻撃対策におけるEDRの立ち位置

しかし注意すべきは、EDRというのはアンチウイルスやファイアウォールのように、導入するだけで自動的にサイバー攻撃から守ってくれるようなタイプのソリューションとは一線を画するという点だ。あくまで情報システム担当者やセキュリティ担当者が、インシデントの初動対応や調査のためのツールとして能動的に使いこなすことが前提となっているのがEDRなのである。この点をしっかり理解していなかったため、PoC(実証試験)を実施したものの導入を見送ったり、導入したもののうまく使いこなせなかったりというケースも多いという。

そして近年では"EDRブーム"の様相も呈していることから、各セキュリティベンダーがこぞってEDR製品をリリースしており、玉石混交状態にある。しかし、前述のようにEDRというのは利用者側がどう使いこなすかが鍵を握るため、製品選びにはほかのセキュリティ製品以上に慎重になる必要があり、検討すべき項目は、EDRを導入する目的や、自社の運用体制、製品の誤検知率、カスタマイズ性など多岐にわたってくる。

本連載では、EDR製品を選ぶにあたり抑えておくべきポイントや、それらのポイントを満たすEDRソリューションにはどのようなものがあるのかなどについて解説していきたい。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン