EPPとEDRのスムーズな連携でサイバー攻撃に対抗、アナリストによる監視サービスも提供するウィズセキュア

2024年9月17～19日に開催された「TECH+フォーラム - セキュリティ 2024 Sep. 次なる時代の対応策」に、ウィズセキュアサイバーセキュリティ技術本部プロダクトマーケティング神田貴雅氏が登壇。「全ての組織がEDRを導入する時代のセキュリティ運用の新たな一手」と題して、EDR導入の必要性と導入のポイントを解説した。

サイバー攻撃対策を受け対策を実施したものの、再び攻撃を受け被害を受けた企業は12%

ランサムウェア攻撃が大きな脅威になっている。IPA（独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2024」でも前年に引き続きトップであり、実際に国内でもさまざまな企業がランサムウェアの攻撃の被害に遭っている。また、ウィズセキュアが行っている調査でも攻撃の数は前年から大きく増加している。神田氏は近年のランサムウェア攻撃の動向についてこう解説する。

ウィズセキュア株式会社サイバーセキュリティ技術本部プロダクトマーケティング神田貴雅氏

「2022年のランサムウェア攻撃の数は年間を通して3400件でしたが、2023年はすでに9月の段階で3800件に到達しています。攻撃数は確実に増えており、そのなかでもデータリークが50%増加していることが分かっています。データリークの原因はランサムウェア攻撃グループのLockBitが約21%で最も大きく、Clop、BlackCatなども含めた5大グループで全体の約50%を占めています」（神田氏）。

2022～2023年のランサムウェア攻撃の内訳

近年の特徴は「ランサムウェアのリサイクル」にある。

「ランサムウェアは新しいようで古い攻撃です。ランサムウェアのリサイクルと呼んでいますが、29グループのうちオリジナルグループは11のみで、それ以外は派生したグループです。サイバー犯罪グループがさらにランサムウェアの使用を推し進めていますが、互いに攻撃ルール（Playbook）を再利用しています。そのためある程度攻撃の予想はできますが、それでも防御するサイドは楽観視しない方が良いと当社のアナリストは結論付けています」（神田氏）。

神田氏は、近年の動向として、ウィズセキュアの脅威レポート（2024年6月）を取り上げ「MOVEitの脆弱性」「Snowflakeの顧客がブリーチ被害」「Fortinetファイアウォールの脆弱性に関する新情報」「CDKランサムウェア攻撃」「AIセキュリティ」などが大きなトピックになったことを解説した。

「当社が行った調査では『サイバー攻撃を受けたことがある』というユーザー企業は約45%です。サイバー攻撃は身近な脅威です。また、攻撃を受けた後にセキュリティ対策を施したかを聞いたところ、約26%は『対策し、攻撃を受けていない』で、約52%は『対策し、攻撃を受けたが被害はない』でした。ただ『対策したが、攻撃により被害を受けた』が約12%存在していて、セキュリティ対策の難しさを表しています」（神田氏）。

サイバー攻撃は身近な脅威だが、対策は難しい

導入率約66%、自社運用率約80%、実態調査から見る「EDR運用」の課題とは

このように「対策をしても侵入されてしまう」というランサムウェアを中心にした近年のサイバー攻撃に対し、効果のあるソリューションの一つとして導入が進んでいるのがEDR（Endpoint Detection and Response，エンドポイントでの検知と対処）だ。ウィズセキュアが行った調査では、今後導入するという回答も含め導入率は8割に達する。

「企業規模3000名までの460社を対象にEDRの導入や運用の状況を聞きました。EDRの導入率は約66%（303社）で、理由としては『多様化するサイバー攻撃の被害を最小化したい』『サイバー脅威に対して安心感を手に入れる』『アンチウイルス製品では検知できない攻撃を検知するため』でした。今後の計画も含めると約8割がEDRを導入・導入検討している状況です」（神田氏）。

ただ、EDRは運用が難しく、十分に機能していないという声も多い。ウィズセキュアの調査でもそうした課題が浮き彫りになっている。

「自社運用率は約80%（303社中241社）ですが、実際にお話を伺うと、『導入しても適切な運用ができていない』『グループ会社が導入したのでやむを得ず導入した』『SOCの費用が捻出できないのでとりあえず自社運用している』というケースが含まれています。残りの約20%がSOCユーザーですが、自社運用の難しさから今後さらにSOC利用が増えていくと推測しています。また、EDR導入の予定がない組織は約21%（95社/460社）で、理由は『セキュリティ対策の優先事項が高くない』『現時点では保留』『脅威の対策強化に必要性を感じていない』というものでした」（神田氏）。

EDRの導入には運用の難しさといった課題がある

その上で神田氏は、EDR運用の課題をこうまとめた。

「継続的な対応のための体制確立が大きな課題です。特に重要なのは、アラート管理の負荷軽減と、セキュリティ人材不足の支援です。EDRを導入すると大量のアラートが発生します。しかし、誤検知などのアラートを適切に管理するためには高度なスキルが必要です。また、セキュリティ人材は不足しており、確保のコストが上昇しています。その点が効果的なEDRの運用において障壁になっています。これらへの対処は効率を上げるカギとなります」（神田氏）。

EPPとEDRを単なる足し算ではなく、スムーズに連携させることが重要

こうしたなか、ウィズセキュアでは、製品の改善、機能やサービスの拡充に取り組んでいる。ウィズセキュアは、1988年にフィンランドで創業し、30年以上にわたってサイバーセキュリティ業界をリードする製品やサービスを提供してきたエフセキュアが社名変更した企業だ。200人以上のホワイトハッカーを擁するセキュリティコンサルティングチームが、診断実績やハッキングコンテスト、講演などを通じて世界的に高い評価を得ており、日本法人は1999年に設立された。

「WithSecure™ Elementsというセキュリティプラットフォームを提供しています。中心となるのがWithSecure™ Elements Cloudで、それを取り囲むように三つの主要なサービスがあります。一つ目は、エンドポイント保護やID管理、コラボレーション製品のセキュリティ対策を行うExtended Detection and Response。二つ目は、脆弱性スキャンや資産管理、アタックパスなどリスク評価を行なうExposure Management。三つ目は、MDR（マネージド検知と対応）などパートナーとの協業で提供するセキュリティサービスであるCo-Security Servicesです」（神田氏）。

また神田氏は、EDRとEPP（Endpoint Protection Platform，エンドポイント保護）の位置付けの違いについて、EPPは無関係な人の侵入を排除する防犯システムに近く、いったん侵入されてしまうと対処できないことがあるのに対し、EDRには行動を追跡・記録して監視し、問題を見つけてリアルタイムで警告する点があるとした。

「EPPは、脅威の自動的な予防や検出を行う、挙動検知なども活用したセキュリティの基盤です。一方EDRでは挙動を監視・収集し、EPPに対処できない異常を特定、警告し、可視化と脅威ハンティングを行います。EPPとEDRは、シームレスな連携が重要です。WithSecure™ Elementsは、EPPとEDRの単なる足し算ではなく、EPPをすり抜けた脅威のEDRで検出したり、EPPでブロックした結果をEDRで可視化、EDRの検出結果を活用して厳格なEPPプロファイルを動的に割り当てるなど、スムーズな連携が可能です」（神田氏）。

WithSecure™ Elements EPPとEDRは、シームレスに連携できる

ウィズセキュアのアナリストが対応する24時間365日のモニタリングサービスを提供

WithSecure™ Elementsではさまざまなサービスを提供しており、神田氏はその中から注目できるサービスを詳しく解説した。

まず、ウィズセキュアのアナリストなどにエスカレーションできるオプションサービスのWithSecure™ Elevateがある。「EDRの脅威検知システムが検知した脅威アラートをお客様に代わって当社のアナリストが分析します。ユーザー側でそのアラートが本当に脅威なのか、誤検知なのか判断できないときに、当社のアナリストが判断するものです。管理ポータル上でエスカレーションボタンを押すと、チャットでのリアルタイムなやりとりが可能です。現時点では英語なので、当社のパートナーのサービスからご利用されると良いと思います」（神田氏）。

次に、WithSecure™ Co-Monitoring Serviceがある。WithSecure™ Elements EDRと組み合わせるオプション機能で、アナリストが24時間365日、EDRが検出する深刻なリスクを監視する。

「人間のアナリストによって検出された全ての重大リスクの検証と調査を行い、本物のインシデントだと確認されれば、エンドユーザー様やパートナーに連絡し、そのタイミングで効果的な修復方法や封じ込めのアドバイスを提供します。このサービスを使えば、セキュリティ人材が不足している組織であっても回復力（レジリエンス）の向上、混乱と予定外の出費の最小化、24時間365日の監視体制によるタイムリーなエスカレーションといったメリットを得られます」（神田氏）。

EDRを単体で利用する場合、基本的には脅威の検知にとどまる。しかし、Co-Monitoringによる監視サービスも合わせて利用すれば、個別連絡、能動的調査対応、調査依頼、対応ガイダンス、対応アクション、脅威ハンティングなどが可能になる。さらに、インシデント対応もオプションで追加できる。

最後に神田氏は「近年のサイバー攻撃の多くは過去の技術の再利用です。攻撃に対抗するためにはEPPとEDRの連携が重要です。ただEDR運用には、人員不足、コスト、使いこなし、困難なケースへの対応が難しいといった課題があります。そうした課題に対し、ウィズセキュアはCo-Monitoringをはじめさまざまなサービスを提供しています」とまとめ、講演を締めくくった。

専門家との質疑応答

専門家との質疑応答では、NTTセキュリティ・ジャパンコンサルティングサービス部北河拓士氏とセキュリティインコのpiyokango氏が対応した。

（右）NTTセキュリティ・ジャパン株式会社コンサルティングサービス部北河拓士氏

北河氏は「自社運用率が約80%という結果がありましたが、個人的な印象としては高いと感じました。これは他社製品を含んだ全世界のレポートでしょうか。また大手企業より中小企業の方がEDR自社運用率が高いという結果もありましたが、理由は何だと考えられますか」と聞くと、神田氏は「調査は日本で企画して日本で行なったもの」とし、こう回答した。

「数字には、導入はしたものの、実際には十分な運用までできていないといったケースも含まれています。中小企業向けで自社運用率が高い理由は、兼任されている方が多いことから、とりあえず導入してみて、それからどうやるかを考える組織が多いからだと考えています。SOCは費用が安いとは言えません。企業規模が大きくないことでセキュリティ予算がそれほど確保できていない中小企業では、まず導入してどんなものかを把握した上で、評価が高ければSOCまで検討するという流れがあるからだと思います」（神田氏）。

また、北河氏がEDR製品に加えて利用できる「WithSecure™ Elevate」や「WithSecure™ Co-Monitoring Service」について「マネージドサービス利用時に、お客様が手順を理解し対応する必要はありますか? また、ElevateやCo-Monitoringを活用し自社運用するのとマネージドサービスではどちらが推奨ですか? 日本語での提供予定はありますか?」と聞くと、神田氏は「まず操作方法や手順を説明し、その後は、パートナーとなるプロバイダーが提供するマネージドサービスに含まれる形になります。また、自社運用ではITスキルや体制が必要になります。最初はマネージドサービスを利用していただいて、どこかのタイミングで自社運用に切り替えるのが効率的だと考えています。日本語対応についてはAIなどを活用しながら取り組みを進めており、2025年度中には提供していく予定です」とした。

続いて、piyokango氏は「組織の規模に関係なくEDRを導入する動きが顕著に進んでいることに驚きました。良い傾向だと思いますが、ランサムウェアの脅威とEDRを結び付けているお客様は多いのでしょうか」と聞くと、神田氏は「EDRを導入するとランサムウェア対策ができるところに興味を持つお客様は多いです」とした。

また「ユーザーに対して「このくらいのスキルは持っていて欲しい」といった想定はありますか」との質問については「EDRは高めのスキルが必要だと考えられています。期待としては、通常のITスキルだけではなく、もう少しセキュリティについて詳しくなって欲しいということです。また、理想としては、IT管理者が兼任ではなく専任で置かれていて、またアラートをハンドリングする人も兼任でいらっしゃることです」と述べた。

この他、piyokango氏は、EPPとEDRの連携効果をどう評価すればいいか、ダッシュボード上で確認できるのか、エスカレーションの内容はどういったものか、ポートフォリオでカバーされていない機能の実現見込みなど、製品の機能に対する質問を行なった。神田氏は、ダッシュボードの中で連携による効果を確認できることや、エスカレーションの中では「誤検知かどうかの確認依頼」が多いこと、今後は機能を拡充し、現時点で提供していない部分をカバーしていく見込みがあることを紹介した。