2024年3月5日~8日にわたって開催されたウェブセミナー「TECH+ フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」では、セキュリティ業界の“推奨”と“標準”をテーマに、サイバーセキュリティの最前線で活躍するキーマンが集結。多様なソリューションと、各社が取り組む事例を紹介するセッションが展開された。本稿では、「エンドポイント対策」をテーマとした株式会社アクトの講演「見るべきは検知力だけではない EDR導入における『アンマッチ』を避ける考え方」についてレポートする。

第三者評価機関が公開しているサイバー防御テストの結果を用いた、EDR製品選定のポイント

1994年に設立され、地方自治体向けのシステム開発を皮切りに、ITインフラの販売・設計・導入から運用支援まで民間企業・公共機関向けに事業を展開してきた株式会社アクト。現在はサイバーセキュリティの分野に注力しており、EDR(Endpoint Detection and Response)+SOCサービスやフォレンジックサービス、脆弱性診断、セキュリティトレーニングなど、多様なソリューションを提供している。今回のセッションでは、さまざまな企業のサイバーセキュリティ事業の開発や製品のセールスに携わってきた 同社 サイバーセキュリティサービス事業部 事業部長 ビジネスプロデューサーの横井 宏治 氏が登壇し、EDR製品選定の勘所について話を展開した。

  • (写真)横井宏治氏

    株式会社アクト サイバーセキュリティサービス事業部 事業部長 ビジネスプロデューサー 横井 宏治 氏

横井氏はまず、非営利団体であるMITRE Foundationが毎年実施している、エンドポイントセキュリティ製品のサイバー防御テスト「MITRE Engenuity ATT&CK Evaluations」(以下、MITRE)について語った。サイバー攻撃者(脅威グループ)の手法・戦術・手順を再現して、実践的にエンドポイントセキュリティ製品を検証するMITREの第三者評価の見方について、次のように説明する。

「2019年から毎年実施され、2023年で5回目となったMITREのサイバー防御テストは、もっとも中立的で網羅的なエンドポイントセキュリティ製品の評価情報といえ、検知力・防御力の指針として参考になります。とはいえ、各ベンダーはMITREのテスト結果をさまざまな形で解釈してチャート化しており、当然ながら自社の製品が上位にくるように作成しています。ベンダーによって評価軸も異なるため、どのチャートを参考にすればよいのかわからなくなってしまいがちです。そこで注目したいのが、各ベンダーのチャートで共通して上位にくる製品になります」(横井氏)

各ベンダーのチャートを比較し、複数のチャートで上位を占める製品の導入を検討するのは有効な一手と横井氏。詳細データを確認すれば各製品の得手・不得手も把握できると語ったうえで、技術面のほかにも製品選定において重要となる要素があると話を続ける。

4つのタイプから見るEDR製品の変遷と、自社に合ったタイプのEDR製品を選ぶことの重要性

第三者評価を参考にした製品選定の重要性を説明した横井氏は、次のステップとしてエンドポイント製品であるEDRのタイプについて言及する。

「もともとエンドポイント製品としては、アンチウイルスや次世代アンチウイルス(NGAV)など、感染・侵入を防止するための製品が使われてきました。ところがマルウェアの亜種を極めて簡単に作成できるようになった昨今、アンチウイルスのパターンマッチング方式では侵入を完全に防ぐことができなくなりました。そこで登場したのがEDRという新しいエンドポイントセキュリティ製品のカテゴリです。通信やプログラムの起動、認証といったエンドポイントの“振る舞い”を監視して攻撃を検知し、可能であれば防御するという仕組みで、パターンマッチング方式と比べて、より広範囲な対象を監視できます」(横井氏)

横井氏はEDRには複数のタイプがあるとし、侵入された後の調査、法的証拠の収集を目的とした「フォレンジック重視型」から始まり、元から振る舞い検知防御を目的として開発された「防御重視型」、アンチウイルス製品にEDR機能を付加した「AV進化型」、OSの機能として提供される「OSオプション型」に展開していったと説明。タイプごとの特徴を理解することで、自社に合ったEDR製品を選べるようになると説明する。

  • 図版

「EDRはアンチウイルス製品と置き換わるものではなく、併用することでセキュリティを高めていきます。『防御重視型』のEDRは検知率・防御率に優れますが、アンチウイルス製品とは異なるベンダーの製品を導入すると運用面での負荷が増大します。『AV進化型』は運用負荷を軽減できる反面、検知率・防御率に課題がある製品も少なくありません。対応するOSの利用が大部分ならば、『OSオプション型』も有効ですが、複数OSを利用している環境では厳しい面もあります。このように、同じEDR製品でも、タイプによって重きを置く領域に差があることが、自社にあったEDR製品選定を難しくしています」(横井氏)

平時と有事の2軸で選定基準を考えることが、自社に合うEDR製品を選ぶための第一歩

それでは、自社に最適なEDR製品を選定するためにはどうすればよいのか。横井氏は「平時の選定基準」と「有事の選定基準」の2軸で考えていくことが大切だと語る。

「エンドポイントセキュリティにおける『平時』とは、セキュリティ製品がインストールされており、重大なインシデントが起きていない状態。マルウェアが1週間に1回程度検知される、あるいは誤検知が毎日数件確認できるといった環境を指します。ここまでの選定基準は多くの企業で考えられていますが、実は『有事』、すなわちサイバー攻撃者が組織に侵入し、激しく攻撃を仕掛けている状態を想定した選定基準も重要です」(横井氏)

横井氏は、平時の選定基準として以下の5つを挙げる。

・自社の規模
・自社で運用できるか
・自社のインフラ環境の多様性
・取引先の評価
・海外での利用

  • 図版

「多くのEDR製品には最小購入ライセンス数が定められており、自社の規模に合った最小ライセンスの製品を選ぶ必要があります。また広範囲を監視して攻撃を検知するEDRは自社運用が難しく、専門知識がなければ膨大なアラートを分析することができません。このためSOCサービスを利用できるか否か、利用可能なSOCサービスがどこまで対応してくれるのかも選定基準に入れ込むことが大切です。またクラウドも含めて自社環境に対応していること、取引先が求める要件に合致していることも重要。さらに海外拠点でも利用したい場合は、ライセンスのテリトリーなども確認しておく必要があります」(横井氏)

アクトが提供するSOCサービスでは、専任のアナリストが脅威詳細解析(時系列での感染動作確認や危険度の分析、侵入・伝播経路と影響範囲の調査など)と、インシデント対応(脅威の削除・駆除や自動修復(ロールバック)、ブラックリスト・ホワイトリスト登録、再発防止のための設定変更など)に対応していると横井氏。EDRの運用に伴う課題を解決できるサービスメニューに仕上がっていると力を込める。

また有事を想定したEDR製品の選定基準としては、4つの項目が挙げられた。

・有事対応レベル
・自動修復
・有事運用性
・AIオートメーション

  • 図版

「大規模な攻撃を受けた際には、EDRベンダーのSOCでも、我々のようなセキュリティベンダーのSOCでもいいのですが、EDR-SOCが24×365体制でインシデント対応を行ってくれることが重要です。これは平時であれば、自動防御できる製品なら、EDR-SOC・お客様ともに24×365体制でなくても問題ありません。また、有事にはファイル改ざんが多発しますが、手作業での修復では間に合いませんので自動修復の機能が充実していることも選定基準として大切な要素となります。さらに異なるベンダーのアンチウイルス製品とEDR製品が混在している場合は、別々のコンソールで操作しなければならず、対応が後手に回る可能性があります。この有事の有用性を考えると、セキュリティ対策製品を一元管理できるかどうかも考慮する必要があります。加えて、脅威の検知率・防御率を向上させるため、AIによるオートメーションを実装している製品を選ぶことも有効となるでしょう」(横井氏)

EDRのグローバルリーダー製品とアクトのSOCサービスの組み合わせで、平時と有事の選定基準をクリア

セッション後半では、ここまで解説してきた平時と有事におけるEDR製品の選定基準を満たした製品として、AIセキュリティプラットフォーム「SentinelOne(センチネルワン)」が紹介された。

  • 図版

「極めて高い検知率・防御率を備えた『防御重視型』のEDR製品で、AIエージェントが組み込まれた『AI自律型』であることが特徴となります。アクトから導入いただければ1ライセンスからの提供が可能で、弊社のSOCがEDR操作を代行するため導入企業の運用負荷も軽減できます。Windows、Linux、Macと幅広いOSに導入でき、オンプレミスだけでなくIaaSのインスタンスにも対応。MITREなど第三者機関の評価も高く、取引先の求めるセキュリティレベルも担保できます。ライセンスは海外でも利用でき、弊社のSOCサービスも英語対応するなど、海外拠点への導入も可能です。有事の際も、アクトでは本格的な攻撃発生時のファストフォレンジックサービスを提供しており、24×365の対応も可能。実際、著名な脅威アクターからの大規模攻撃に対し、攻撃途中から撃退に成功した実績もあります。さらにSentinel OneではNGAVとEDRを1つのコンソール上で管理でき、有事有用性に関しても問題なし。Windowsのボリュームシャドウコピーサービス(VSS)を使った自動修復機能も備えています」(横井氏)

SentinelOneとアクトのSOCサービスを組み合わせることで、平時・有事に対応できるエンドポイントセキュリティ対策が講じられると横井氏は語った。平時はSentinelOneによる24×365自動防御と平日日勤帯のアクトSOC、有事はアクトの24×365インシデント対応サービスを適用するなど、サービスを切り替えることもでき、コストを抑えながら安全性を担保できると説明。ウェビナーの視聴者に向けて次のようなメッセージを送り、講演を締めくくった。

「サイバー攻撃は巧妙化を続けており、企業が被る被害も大きくなってきています。アンチウイルスなど従来のセキュリティ対策だけでは防御できなくなっており、早急に自社に合ったEDR+SOCを導入することを強くお勧めしたいです」(横井氏)

関連リンク

[PR]提供:アクト