標的型攻撃の脅威が深刻化の一途をたどるなか、「EDR(Endpoint Detection and Response)」と呼ばれる「エンドポイントセキュリティ」の新しいソリューションに注目が集まっている。EDRと従来型のアンチウイルスソフトとは何がどう異なるのか。そしてなぜ今、このソリューションの導入が必要とされているのか── こうした疑問を解決すべく、ファイア・アイ 執行役 副社長 岩間優仁氏とラック 執行役員 ITプロフェッショナル統括本部 サイバーセキュリティ事業部長 中間俊英氏に話を伺った。
EDRって何? 従来型のアンチウイルスソフトとは何が違う?>>
近年、企業や組織を狙った標的型攻撃の脅威が深刻化している。ファイア・アイのコンサルティング部門であるマンディアントが、2015年に世界中で対応した数百件にものぼる大規模セキュリティインシデントの内容を分析したところ、標的型攻撃を受けた企業・組織がセキュリティ侵害に気づくまでに要した日数は、日本を含むアジア太平洋地域で520日※(中央値)に達していたという。
※「M-Trends 2016アジア太平洋版」、ファイア・アイ、2016年
「それだけの期間があれば、侵入した攻撃者が内部活動を展開し、企業・組織の重要情報の在り処を突き止めるのも十分に可能なはずです。たとえ本社は防御に万全を期していても、対策が手薄な拠点や関連会社、取引会社のネットワークから侵入されることもあります。攻撃者の侵入をいったん許してしまえば、従来の対策では発見することは困難です。そこで、攻撃者がネットワークの防御を巧みにくぐり抜け、エンドポイントを侵害したのちの内部活動を正確かつ迅速にとらえ、適切な対処・対応につなげる仕組みが必要なのです。それがEDR、すなわちエンドポイントの検知と対応に他ならないのです」と、岩間氏は言う。
また、日本最大級のセキュリティ監視・運用センター「JSOC」を運営し、ファイア・アイ製品を用いたマネージド・セキュリティ・サービスを提供しているラックの中間氏によれば、EDRソリューションの意義は、インシデント対応の正確性とスピードを上げることにあるという。
「アンチウイルスソフトは、エンドポイントへのマルウェアの感染を阻止するための仕組みですが、EDRは感染後の対処・対応を正確、かつ迅速に行うためのソリューションです。EDRの活用により、マルウェアに感染したエンドポイントを特定し、それをネットワークから隔離して被害拡大を阻止する作業が効率化できます。また、マルウェア感染の影響範囲を特定するトリアージの作業も迅速になります。現在、日本の企業・組織の間ではインシデント対応チームであるCSIRT(Computer Security Incident Response Team)の構築が進んでいますが、インシデント対応の重要なポイントは、マルウェアの侵入原因・侵入経路・被害状況の可視化をいかに正確、かつ迅速に行うかです。EDRのソリューションは、まさにそのために有効なツールと言えるのです」(中間氏)
本資料では、EDRとアンチウイルスに代表される従来のエンドポイント対策は何がどう異なるのか、そしてなぜ今このソリューションの導入が必要とされているのかを、岩間氏と中間氏の話を参考に解説している。最新のセキュリティ事情に興味がある方、現状のセキュリティ対策に不安を感じている方は、ぜひ一度目を通していただきたい。
(マイナビニュース広告企画:提供 ファイア・アイ、ラック)
[PR]提供:ホワイトペーパー