EDR(Endpoint Detection & Response:エンドポイントを狙う脅威の検知と対応)に対する注目が高まっている。IDC Japanは2020年に報告した「国内標的型サイバー攻撃対策ソリューション市場予測」のなかで、2024年までかけてEDRの市場規模が毎年平均して10.6%伸びていくことを予測。導入企業は今後増加の傾向にあることから、EDRは、いまや企業がセキュリティを考えるうえで「当然検討すべき選択肢」になってきているといえよう。
ただ、"エンドポイントにあるデータの分析によって悪意ある挙動を検出する" という性質から、EDRの運用はどうしても煩雑になりがちだ。導入企業の増加とともに、そこで挙がる課題の声も大きくなってきている。過不足ない運用でEDRの効果を最大化するためにはどうすればよいのか。
本稿では、ガートナーの代表的なリサーチである「マジック・クアドラント」のエンドポイントセキュリティ領域において、15年もの長い間リーダーに位置づけ続けるトレンドマイクロがまとめた資料をもとに、企業がどんな視点をもってEDRを選定し運用体制を整えるべきかを論じたい。
トレンドマイクロ提供資料
そこが聞きたい、EDR導入の本音
~EDR検討で実際にお客さまが気になる疑問に、本音でお答えいたします~
> > 資料ダウンロードはこちら
導入検討に際して知っておきたい、2つの事項
(1)EDRとEPP
一般的にEDRは、従来型アンチウイルスでは検出が困難な "未知の脅威" への対応策として語られることが多い。決して間違いではないものの、"未知の脅威" に対応する術が他にないかというとそうではない。たとえば、挙動監視や機械学習を活用してマルウェアを阻止するEPP(Endpoint Protection Platform : 次世代アンチウイルスプラットフォーム。)を利用すれば、EDRと同じように "未知の脅威" に対応することができる。
この双方は、根本原因が特定できるか否かという点で違いがある。EPPの場合、運用負荷を抑えて "未知の脅威" が検出できる一方、侵入経路や根本原因までは特定ができない(つまり、同じ脅威に再度感染する危険性が残ってしまう)。対してEDRではエンドポイントに記録された活動ログを分析するため、侵入プロセスを詳細まで可視化したうえで対策を講じることができる。
これだけを聞くと "EPPではなくEDRを導入すればよい" と思うかもしれない。しかしそれは誤解で、EDRのみだと脅威の検出に膨大なリソースが割かれて根本原因の特定にまで手が回らないケースが多い。トレンドマイクロは資料のなかで、過不足ない運用にあたってはEDRとEPPの併用が重要だと提唱。これをもった運用自動化(下図を参照)に臨むべきだと述べている。
(2)SaaS型EDRが持つメリット
EDRとEPPの文脈でもふれたように、運用を自動化することは、"根本原因の分析" や "対策の検討" にリソースを割り当てるうえで欠かすことのできない要素だ。この観点から、EDRを選定する際には、SaaS型のソリューションを候補に入れることも忘れないようにしたい。下の図にあるように、SaaS型のEDRでは日々の定常運用にかかる作業の多くを自動化することができる。
XDRを見据えた製品選定を
エンドポイントセキュリティに絞って論じてきたが、脅威が巧妙化するなかにあってはネットワークやクラウドといった "エンドポイントに留まらない攻撃" まで可視化して対応を行えるようにすることが重要だ。従って、EDRを導入する場合にあたっては、他のセキュリティレイヤーまで包括的に管理できるかどうかも視野に入れて選定を進めたい。
トレンドマイクロが提供する製品は、EDRを他のセキュリティレイヤーにまで拡張したXDR(Extended Detection and Response)という概念を取り入れている。右図にあるように、同ソリューションを利用することで、企業はSaaS形式で、EPPとEDR、XDRの領域を横断した仕組みを整備することが可能だ。
資料では企業がEDR選定で留意すべきポイントについてまとめながら、同ソリューションについて詳細に説明している。EDRについて検討する際は手に取っていただくことを勧めたい。
ダウンロード資料のご案内
トレンドマイクロ提供資料
そこが聞きたい、EDR導入の本音
~EDR検討で実際にお客さまが気になる疑問に、本音でお答えいたします~
> > 資料ダウンロードはこちら
[PR]提供:トレンドマイクロ