近年、セキュリティ対策の用語として聞くようになったEDR。名前はご存じの方も多いのではないでしょうか。今回の記事では、いま注目されているEDRについて、仕組みや機能、失敗しない選び方や注意点などを解説するとともに、おすすめのセキュリティ製品も紹介します。自社のセキュリティ強化にお役立てください。
目次
( 1 ) EDRの概要・仕組み
EDRとは?
EDRとは「Endpoint Detection and Response」の略で、ユーザーが使うエンドポイント(※1)において常に監視を行うセキュリティ対策のことです。すでに侵入してしまった脅威を検知し、不審な動きをしていれば管理者に速やかに知らせる仕組みになっています。
「事後対策」という考え方
従来のセキュリティ対策は「事前対策」が主流でした。これは、ファイアウォール(※2)、アンチウイルス(※3)などのソフトやツールを使うことでマルウェアの侵入を防ぐというソリューションです。しかし近年はサイバー攻撃が巧妙化・複雑化しており、この方法だけでは完全には防ぎきれなくなっています。
そこで「事後対策」としてEDRが注目されています。EDRは侵入されてしまうことを前提とし、侵入された際に検知を行い、感染したパソコンを隔離するなど適切な対応をとることで被害の拡大を防ぐソリューションです。
これからのセキュリティ対策は「100%事前にシャットアウトする」のではなく、「もしもの事態を想定したうえで侵入された後にどうするか」を視野に入れて考える必要があると言えます。
※2 ファイアウォール:もともとは「防火壁」の意。社内ネットワークと外部ネットワークの間に立つことで不正アクセスから会社を守る機能。
※3 アンチウイルス:コンピュータウイルスの侵入や攻撃からシステムを守る機能。
( 2 ) EDRの主な機能
4つのステップで脅威に対応
では、具体的なEDRの機能について見ていきましょう。EDRの基本的な機能は以下の4つです。この流れによってエンドポイントに侵入したマルウェアなどの脅威に対応することができます。
●監視
エンドポイントに専用のアプリケーションを導入し、操作など各種ログをリアルタイムで監視します。
●検知
ログの監視によりマルウェアなどの不審な挙動を検知し、端末の特定や侵入経路、被害状況などを特定してセキュリティ管理者に通知します。
●隔離
検知した端末を自動的にネットワークから隔離し、通信の制限や他の端末への被害拡散を防止します。
●修復
不審なファイルの削除やデータベースの修復、アプリケーションのバージョンアップやパッチ(※4)の更新を実施します。
従来の感染や侵入を防止する対策に加え、これらの機能によって感染や侵入後の対策を行うことで迅速な対応が可能となり、被害を最小限に食い止めることができるのです。
※4 パッチ:もともとは「つぎあて」の意。コンピュータ用語では修正や機能の調整に用いられる配布プログラムのこと。( 3 ) EDRが注目されている理由
巧妙化・複雑化するサイバー攻撃
EDRはなぜ注目されるようになったのでしょうか。EDRが注目されるようになった最大の要因は、サイバー攻撃の巧妙化・複雑化にあります。最近よく耳にするマルウェアを例に見ていきましょう。
●Emotet(エモテット)
「Emotet」はメールを主な感染経路として侵入するマルウェアです。脅威が広まった後にいったんは収束するものの、再び活動が活発になるということを繰り返しています。
●ランサムウェア
IPA(独立行政法人 情報処理推進機構)が発表する「情報セキュリティ10大脅威」の2021~2023年まで、3年連続で「組織編」の1位に選ばれているのが、ランサムウェアです。巧妙に攻撃を仕掛けてくるマルウェアの一つで、パソコンに保存されているデータを暗号化するなどして、ランサム(Ransom=身代金)を要求します。その被害の多くは中小企業とも言われており、事前対策を講じても「いたちごっこ」の様相を呈しています。
働き方の変化によりエンドポイントセキュリティが重要視
EDRが注目されている背景には、働き方の変化もあります。スマートフォンやタブレットなどの普及、さらにコロナ禍や働き方改革によるテレワークの浸透など、著しい環境変化によってエンドポイントが多様化しています。
従業員が自分のスマートフォンやパソコンを使って在宅で仕事をすることも増え、そこから脅威が侵入するケースも増えてきました。このためエンドポイントセキュリティがより重要視されるようになったのです。
「ゼロトラスト」という考えも浸透
サイバー攻撃がますます巧妙化・複雑化する中で、近年は「ゼロトラスト」という考えも広まってきています。これは「何も信用しない」ことを前提にセキュリティ対策を講じる考え方です。
テレワークの普及や、クラウドサービス(※5)の利用増加は、会社の「内」や「外」といった境界を曖昧にしています。そのため、誰(ユーザー)も、どこ(ネットワーク)も、何(デバイス)も、信用しない。そうした認識のもとですべての安全性を検証するセキュリティ対策を講じなければならないというわけです。
( 4 ) EDRの失敗しない選び方と運用時の注意点
チェックしておきたい4つのポイント
ここからはEDRを選ぶときのポイントを見ていきましょう。EDRが可能なツールにはさまざまなものがあります。導入に際して失敗しないために、以下のようなことをチェックしてみてください。
●最新の脅威に対応できるか
サイバー攻撃は日々巧妙化・複雑化しています。未知のマルウェアや最新の脅威を検知できるかを事前に確認しておきましょう。
●精度の高い分析が可能か
不審な動きを検知するためには、精度の高い分析が必要です。小さな異常を早期発見することで被害を最小限に抑えることができます。
●調査機能が備わっているか
マルウェアに感染した端末の特定だけでなく、感染経路や影響がおよぶ範囲などを調査し、原因の究明ができる機能を備えたものを選びましょう。
●事前対策のセキュリティツールと連携できるか
EDRはあくまで事後対策なので、相乗効果が期待できるツールと組み合わせが可能かどうかを確認しましょう。連携して複合的な対策を行うことで、より対策の精度がアップします。
導入後の運用についても注意が必要
EDRはただ導入すればよいというわけではなく、運用体制の構築も大事なポイントです。管理者は通知を受けた脅威に対して適切な対応を行う必要があるため、専門知識が求められます。運用に対してベンダーからのサポートが受けられるか、アウトソーシングが可能かといったことも、事前に検討や確認をしておくことをおすすめします。
( 5 ) おすすめのセキュリティ製品
UTMとセットで複合的な対策を
EDRは事前対策のセキュリティツールとあわせて実施することで、より対策の精度がアップします。そこでおすすめなのがUTMです。
UTMは「Unified Threat
Management」の略で、日本語では「統合脅威管理」と言います。先に述べたファイアウォールやアンチウイルス、Webフィルタリング(※6)などの機能がオールインワンで搭載されているため、1台で多層防御が可能です。
通常アプライアンス(専用機器)として提供されるためインストールの必要がなく、導入もスムーズです。
EDRとも連携可能なサクサUTM「SS7000Ⅲ」
より具体的なUTMの特性について、EDRとも連携が可能なサクサUTM「SS7000Ⅲ」を例にとって見てみましょう。
●社内外のセキュリティリスクに対応
不正アクセス、サイバー攻撃など外部の脅威から社内ネットワークを守るだけでなく、内部機器からのウイルス拡散や情報漏洩などのリスクにも備えることができます。
●最新のセキュアなネットワーク環境を実現
ウイルス定義ファイル(パターンファイル)を定期的に更新することで、最新のセキュアなネットワーク環境を保ちます。またセキュリティ状況の「見える化」により、ブロックした脅威も一目瞭然です。
●監視・保守・サポートも充実
導入後のさまざまなサポートも充実しています。リモート保守サポート、パソコンの感染時の無料ウイルス駆除サービス、さらにもしもの場合に備えてサイバー保険(※7)も標準で付いています。
●VPN構築が可能
管理サーバ上で接続したい拠点を選択するだけで、簡単に拠点間VPN接続(※8)が可能です。またオプションでリモートアクセスVPNも構築でき、外出先や自宅からでも社内ネットワークにアクセスすることができます。
●感染したパソコンを隔離
EDRと連携して社内ネットワークで不正な通信をしているパソコンを検知し、ネットワークから隔離します。万が一外出先で端末がウイルスに感染しても、感染拡大を防止することができます。
※6 Webフィルタリング:不適切なWebサイトの閲覧を防止するアクセス制御機能。※7 サイバー保険:サイバー事故によって生じた損害賠償責任、事故対応にかかる費用、喪失した利益などを補償する保険のこと。
※8 VPN接続:VPNは「Virtual Private Network」の略で、日本語では「仮想専用線」。インターネットをはじめとするネットワーク上に、仮想の専用ネットワークを構築して通信を行う仕組み。
( 6 ) EDRに関連したQ&A
間違いやすい専門用語との違い
最後に、EDRに関する質問にQ&A形式でお答えします。
Q. EPPとEDRとの違いは?
A. 同じアルファベット3文字でまぎらわしいですが、EPPは「Endpoint Protection
Platform」の略です。(1)の項目で述べたようなファイアウォールやアンチウイルスを使った「事前対策」のことを指します。
EPPとEDRを適切に導入・実施することによってサイバー攻撃や情報漏洩から会社を守り、業績や信頼性の向上も図ることができます。
Q. アンチウイルスやNGAVとの違いは?
A.
アンチウイルスはEPPと同様に、パターンマッチングによってマルウェアなどの侵入を防ぎます。NGAVは「Next
Generation
Anti-Virus」の略で、日本語では「次世代アンチウイルス」と呼ばれ、マルウェア特有の動作を手がかりに検知を行います。
アンチウイルスはデータベース内にあるものを手がかりにウイルスを検知するのに対し、NGAVは疑わしいふるまいをしているものについては未知のものであっても検知するという点が異なります。
( 7 ) まとめ
今回は、いま注目のEDRとは何か、その機能や失敗しない選び方などを紹介しました。セキュリティ対策は不正アクセスやマルウェアの侵入を防ぐ「事前対策」だけでなく、EDRによるエンドポイントセキュリティ、つまり「事後対策」が重要なことがご理解いただけたのではないでしょうか。
もちろん事後対策は「事前対策ありき」でこそ意味があるものです。ぜひ、UTMと併用することで、自社のネットワークセキュリティを強化していただければと思います。
サクサでは、監視・保守・サポートなど導入後のアフターケアも充実しているUTMをはじめ、中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。
また、UTMの基本機能から導入メリット・選定ポイントなどを詳しく解説したお役立ち資料や、サクサの最新モデルUTM「SS7000Ⅲ」の詳細が5分でわかる資料などもご提供していますので、ぜひご活用ください。
UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。