サイバー攻撃の高度化・巧妙化を受けて、従来ながらの事前対策に加え、事後対策の必要性が叫ばれていること、そしてその事後対策を効果的に実践するために欠かせないツールとして「EDR(Endpoint Detection and Response)」が注目されており、もはや“EDRブーム”の様相すら呈していることについて述べた。そこで本連載第2回目となる今回は、各セキュリティベンダーがこぞってリリースするEDR製品、これを選ぶ際に必要となる「抑えるべきポイント」を紹介する。

まずは目的の明確化を

EDRというのはアンチウイルスやファイアウォールのように、導入するだけで自動的にサイバー攻撃から対象を守ってくれるソリューションとは異なり、情報システム担当者やセキュリティ担当者が調査ツールとして能動的に使いこなすことが前提となっている。そのため、社内でEDRをどう使おうとしているのか、最初に目的を明確にしておかないと、”PoC(実証試験)をやっておしまい”という結果になりかねない。

この目的は企業によってまちまちだが、たとえばCSIRTを設置している企業であれば、設置していない企業以上にインシデントレスポンスを支援するツールとしてEDRの実力が発揮できるだろう。また、フォレンジックや内部監査といったコンプライアンスの遵守、不正防止といった用途にも有効だ。いずれにせよ、どのEDR製品を導入するかの議論以前に、まずは自社のインシデントレスポンスの体制や手順が整っているのかを確認するようにしたい。

どれだけ検知できるか

それでは、いよいよここからが本題。EDR製品を選定する際に必ず抑えておきたい比較ポイントについて解説していこう。

【ポイント1】検知力

EDRを導入した企業が実際に運用を行うなかでまず直面する課題が「誤検知」だ。

エンドポイントにおける「本当は脅威ではない挙動」までEDRが脅威とみなしてしまい、アラートが頻発してしまうといったケースがその最たる例である。こうなると担当者は調査に追われてしまい、しかも調査してみると脅威ではなかったというケースばかりとなるため、本物の脅威を検知したアラートに対しても「またか」と軽んじて見逃してしまう事態に陥りかねない。EDRが“オオカミ少年”となってしまうのは笑えない話だが、こうしたケースは実際にみられている。

EDRはエンドポイントの挙動を継続的に監視して、そこから一定のルールに沿って「不審な挙動(=脅威の可能性)」を検出する。しかし、不審な挙動をEDRが検出できなかったり、もしくは通常の挙動も含めて何でもかんでも不審な挙動と判断してアラートを出し続けたりしたのでは、そもそもの前提が崩れてしまう。安全な挙動も脅威とみなすタイプの誤検知についてはルール設定との兼ね合いもあるので、その点については後述することとする。

  • 通常の挙動を脅威と誤検知することなく、本物の脅威だけを正しく検知する正確性が重要

    通常の挙動を脅威と誤検知することなく、本物の脅威だけを正しく検知する正確性が重要

なので、ここではまずEDRがアンチウイルスやファイアウォールといった既存のセキュリティ製品とは異なり、見過ごしてしまった脅威に速やかに対処するためのものであること。それゆえに脅威となりうるあらゆる挙動を検出できる高度な検出エンジンを備え、高い検知力を持つ製品を選ぶということをポイントとしてあげたい。

そして、できればエンジンも1つではなく、複数のものを組み合わせていたほうが、それだけ多角的な解析が行えるため検知率が高まるだろう。さらに、昨今ではAIや機械学習などを用いた検出エンジンも登場してきており、そうした最新のテクノロジーとの組み合わせも重要なポイントとなるだろう。

また、EDRは自社に潜む脅威を可視化して対策を行うためのものであるため、単に検知できるというだけでは十分ではない。なぜ脅威であると判断したのか、その判断理由まで示せることが必要となってくる。

実際の運用を想定して

【ポイント2】運用性/カスタマイズ性

前述のとおり、EDRはエンドポイントの挙動を継続的に監視して、そこから一定のルールに則り「不審な挙動(=脅威の可能性)」を検出するものだが、検出した挙動を脅威と判定する基準は企業ごとにかなり異なってくる。仮に、【管理者権限で実行ファイルを開く】という挙動があったとして、それはユーザーの意図した「正当な挙動」かもしれないし、もしくはマルウェアなどが引き起こした「不正な挙動」かもしれない。

このように【エンドポイントにおいて管理者権限で実行ファイルを開く】という挙動が検出された際、EDRにはどちらに判断してほしいのかという基準は、企業ごとにまちまちであるはずだ。さらに、営業や企画などの部門では基準のハードルを比較的低く、逆に総務・人事や研究開発などの多くの機密情報を扱う部門ではハードルを高めにといったように、同じ企業であってもルールが異なってくることも多い。

そのため、EDRの導入後には、検知ルールを自社環境に合わせて最適化する作業が必須となるし、運用開始後もそれを継続的にチューニングしていかなければならない。このチューニングやカスタマイズのしやすさもEDR製品選びのポイントといえるだろう。

  • 動作を行ったのがシステム開発に携わる部門の社員か一般社員かによって、その挙動の正当性を判断できるカスタマイズのしやすさもポイント

    動作を行ったのがシステム開発に携わる部門の社員か一般社員かによって、その挙動の正当性を判断できるカスタマイズのしやすさもポイント

既存製品との共存を考える

【ポイント3】アンチウイルス、アンチマルウェア製品との相性

意外と見落としがちで導入後に問題が生じやすいのがこのポイントだ。いまやほとんどの企業がアンチウイルス製品を導入しているはずだが、こうした製品もEDRと同じくエンドポイントを守るセキュリティ製品であるため、バラバラの製品を導入してしまうと大局的な目的は同じであるのに管理は別々……、という非効率な運用を求められることとなる。

また両者の競合の問題にも配慮する必要がある。アンチウイルスもEDRも多くがシステムの最深部の情報まで取得できるカーネルモードで稼働するため、エンドポイント上で共存した際の影響をしっかり見極めねばならない。場合によってはシステム自体が強制的にシャットダウンしてしまうといったリスクも想定される。利便性とセキュリティとはトレードオフの関係とよくいわれるが、アンチウイルスとEDRの競合の影響でエンドポイントのパフォーマンスが下がってしまったのでは、エンドユーザーのストレスが高まり、ひいては企業全体の生産性低下をも招きかねない。

こうした共存に関わる問題を避けるには、アンチウイルス製品と同じブランドのEDR製品を選ぶのが得策だ。特にアンチウイルスと連携して動作するようなEDRであれば、問題を避けるばかりか、より高いセキュリティの実現にも寄与することだろう。

  • EDRとアンチウイルスを同じブランドの製品で運用することで、効率的かつより高いセキュリティを実現

    EDRとアンチウイルスを同じブランドの製品で運用することで、効率的かつより高いセキュリティを実現

このほかにも、コストやベンダーの実績、サポート体制、果てはクラウドかオンプレミスか、など、製品を選ぶうえで抑えておきたいポイントはあるものの、ここでは最も重要かつ見落としがちなもの、そしてEDRだからこそのポイントにフォーカスさせていただいた。 本連載の最終回となる第3回は、本稿で取り上げた抑えるべきポイントを網羅した「理想的なEDR製品」たる『ESET Enterprise Inspector』をベンダー担当者の声とともに紹介する。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン