エンドポイントを継続的に監視し、サイバー攻撃を検出して対応するEDR。その価値や必要性は十分に理解していたとしても、自社に適したEDR製品を選定することは難しい。11月25日に開催されたTECH+セミナー「セキュリティ専門家と企業の対話」で、エフセキュアの サイバーセキュリティ技術本部 本部長 島田秋雄氏は、EDRソリューションを選定するために確認すべき最も重要な10のポイントについて、昨今EDRが注目されている背景も踏まえながら解説した。

  • エフセキュア サイバーセキュリティ技術本部 本部長 島田秋雄氏

なぜ今、EDRが注目されているのか?

昨今、企業におけるEDRソリューション導入の流れが加速してきている。その理由は、情報処理推進機構(IPA)が公表しているランキング「情報セキュリティ10大脅威 2021」の第1位〜3位を見るとわかりやすい。

同ランキングの第1位は「ランサムウェアによる被害」。島田氏は「当社にもランサムウェアの被害を受けたというご相談をいただいており、その対応およびEDRの導入を行う事例も出てきている」と説明する。第2位は、「標的型攻撃による機密情報の窃取」。そして第3位は、2021年に新たにランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。特にRDPを狙った攻撃が増えてきているという。

厄介なのが、攻撃は一瞬のうちに終わる一方で、データやシステムの侵害を見つけるまでには数カ月程度掛かることもあるという点だ。なぜ、検知に時間が掛かってしまうのだろうか。その理由の1つは、攻撃の高度化だ。特に攻撃者にとってランサムウェアは金銭の取得が期待できるため、産業化が進むととともに攻撃も年々高度化している。

「攻撃者はターゲットを決めるとお金と人を使ってターゲットの環境を調べ尽くし、同等な環境を構築して突破できるまでテストを繰り返すことで、確実に突破する方法を検討していると考えられる。こうしたなか、国家による高度なサイバー攻撃の手法が愉快犯にまで浸透するトリクルダウン現象も進み、企業側には非常に厳しい状況。従来のウイルス対策製品だけでは攻撃を検知することが困難になってきている」(島田氏)

検知に時間を要してしまう理由の2つめは、対応の難しさだ。EPPやEDR製品のアラート機能で管理しているという企業も多いが、アラートが大量に発生するため、実際の攻撃がノイズの海に溺れてしまっているケースもある。結果として、何が起こっているか把握できず、適切な対応につながっていかない。

復旧作業や他のPCが感染していないかどうかなどを確認するのにも時間とコストが掛かってしまうため、サイバー攻撃を迅速かつ適切に検知・対応することの重要性はより増してきている。こうした背景のもと、近年EDRへの注目度が高まっているというわけだ。

「5年前、EDRは本体価格や運用コストが高いと指摘されていたが、コロナ禍による在宅勤務の増加、攻撃の高度化によって、ここ1年間で中小企業からの導入相談も増えてきている。高度な攻撃を早期発見して対応するには、EDRソリューションの導入が不可欠。従来のアンチウイルスソフトやサンドボックス製品といった未知のマルウェアを防ぐ入り口対策はもちろん有効だが、それらをすり抜ける攻撃の芽を早い段階で摘み取ってしまおうというのが、EDRの根本の発想としてある」(島田氏)

EDR導入時に確認すべき10のポイント

続いて島田氏は、EDRソリューションを選定するうえで確認すべき10のポイントを紹介した。

それぞれ順に見ていきたい。

1. 導入済みセキュリティプラットフォームとの互換性の確認統合

導入済みのアンチウイルスソフトと導入を検討しているEDRソリューションとの相性を確認しておくことが重要となる。また、SIEMツールを使った管理を行っている場合は、SEIMシステムにデータをシームレスに供給することができるよう、API統合のできるEDRソリューションを探すことが最善策になる。エフェキュアのソリューションの場合、多くのEPP製品との連携が可能となっている。

2. エージェント型とエージェントレス型を比較

エージェント型とは、アンチウイルスソフトのようにPCにエージェントをインストールして情報を収集し、それらをクラウド上のシステムにアップロードし、機械学習等によってマルウェアを検出するもの。エージェントレス型は、デバイスにインストールする必要がないというメリットがあるが、収集できる情報量が少ない点はデメリットとなる。

3. 検知性能の評価

EDR製品のランキングなども参考に、検知性能を評価することが必要だ。導入前にPoCを行い、実環境で誤検知・過検知がどれくらい発生するか確認しておくことも重要となる。

4. レスポンス機能の評価

攻撃を検知した場合、どのような自動応答が行われるかについても確認しておくべきだろう。デバイスをネットワークから隔離して、EDRの管理コンソールとしかやり取りできないようにするのが一般的な対応の1つとなる。

5. クラウド環境のサポート

EDRソリューションがクラウド環境をサポートしているかどうか、またどの程度サポートしているかについても知っておかなければならない。特に、クラウド上のシステムをサポートするEDRソリューションは少なく、特定のクラウドアプリケーションに対して追加の保護が必要な場合もある。

6. システムアップデートの管理とインストール

攻撃者は、常に新しい戦術や技術、手順を駆使してセキュリティシステムを侵害しようとする。そうした攻撃者の動きに追随すべく、近年では、機械学習やAIで侵害を検知するのがEDRアーキテクチャのメインストリームになっている。エフセキュアのソリューションでは、エージェントがPC内の情報を収集し、検知されたイベントを重要度と信頼レベルから自動的に計算されるリスクスコアに基づいてより広いコンテキストで攻撃を可視化する。高度な攻撃が行われた場合も、社内のマルウェア解析チームなどが連携して対応する体制が構築されている。

7. 拡張性の確認

島田氏によると、オールインワン型のセキュリティソリューションを熱望する組織は多いという。エフセキュアではEPP・EDR・脆弱性管理について1つのエージェントで対応可能となっている。別々のベンダーのEPP・EDP製品を利用する場合、管理コンソールが異なるため管理が煩雑になることに注意が必要だ。

8. 驚異検知モデルのカスタマイズの可能性

あらゆる状況に最適化されたデフォルトの機械学習アルゴリズムなどは存在しない。エフセキュアでは、社内の専門家たちの知見をもとに、独自の脅威検知モデルを設計し常にアップデートを行っているため、カスタマイズを行わなくとも、手を変え品を変え行われる攻撃を検知し、適切に対処することができる。

9. コストの評価

導入したらすべておしまい、というわけにはいかないのがEDRである。エンドポイントの数や、運用監視の方法、インシデント対応、フォレンジックの方法などといったことまで含めてコストを評価する必要がある。

10. ベンダー(MSSP)のサポート体制

ベンダーおよびMSSPによるサポート体制についても事前に確認しておく必要がある。

島田氏はこれらのポイントを踏まえたうえで、聴講者に対し、「ビジネス環境とセキュリティ脅威がこの1年で急激に変化した。サイバー攻撃やマルウェア感染による侵害が生じることを前提に考えていかなければならない。また、企業規模やセキュリティ対策スキルに応じた対策を検討する必要もある。そのうえで、今回ご紹介した10のポイントを踏まえながらEDRベンダーを選んでいくとよいのでは」とアドバイスを送った。