Endpoint Detection and Response（EDR）について

攻撃者にとって、エンドポイントは組織のネットワークへの侵入口として悪用されます。進化を続ける脅威に対抗するソリューションには、高度な能力が求められるようになっています。エンドポイントにおける不審な振る舞いをすばやく正確に把握し、脅威を即座に排除して脅威の影響を低減するために、組織のサイバーセキュリティには、Endpoint Detection and Response（EDR）が必要です。

EDRソリューションの概要とその機能

EDRには、最新のエンドポイントセキュリティツールが数多く統合されており、キルチェーンで重要な位置を占める脅威を検知、調査、対処できます。EDRは、エンドポイントのセキュリティに不可欠な要素であり、組織のセキュリティ体制全体において重要な役割を果たします。組織のエンドポイントの状態を絶えず監視し、疑わしい挙動の発見時点で即座に問題に対処できるようにするには、EDRが欠かせません。

EDRは、プロアクティブに脅威を調査し、対処します。組織内におけるすべてのオペレーティングシステムのエンドポイントを対象として絶えず監視します。デスクトップ、ノートPC、サーバー、モバイルデバイス、IoT環境、クラウド環境などからデータを集約し、システムの微妙な変化を把握するのに利用します。

EDRでは、エンドポイントのテレメトリなどのコンテキストデータを組織全体から収集するため、高い可視性が実現すると共に、詳細な背景情報が得られ、脅威を早期に検知できます。適切なEDRソリューションを導入すれば、侵害を受けたエンドポイントの状況を正確に把握できるようになり、脅威の特定や脅威への対処にかかる時間を短縮できます。

EDRのメリット

• 可視性を強化：EDRでは、すべてのエンドポイントを対象としてすべてのイベントを監視するため、組織のシステム内の状況を詳細に把握できます。また、リアルタイムの監視機能を備えているため、どの時点でもシステムの状態を正確に把握できます。
• 機械学習、AI、高度な分析機能で検知の能力を強化：EDRは、イベントやプロセスに存在する特定のパターンをすばやく特定できます。最新の脅威の影響を低減するうえでこの機能は欠かせません。EDRでは、エンドポイントのイベントから集めたデータを、AIと機械学習を活用して処理し、脅威の活動が疑われるインシデントやプロセスから特定のパターンを検知します。AIの分析を活用すれば、実際に被害が発生する前に脅威を検知して脅威を封じ込められます。また、将来類似の攻撃を受けたときの対処方法に目を向けられるようになるという点でも、AIによる分析の果たす役割は重要です。
• 効率を向上：EDRは、データの収集と分析、エンドポイントのインシデントの調査、対処のアクションの実行などに必要なすべてのツールを一元的に集約したプラットフォームです。また、EDRでは、日々の業務を自動化することもできるので、セキュリティチームは脅威にすばやく対処でき、生産性を高めることができます。

EDRとEPPの違い

• 防御対象領域：EDRソリューションとエンドポイント保護プラットフォーム（EPP）を分ける重要な違いの1つに、防御する対象領域が異なることが挙げれます。EDRは、最前線の防御ラインを突破してすでにシステム内に侵入している脅威を検知し、その影響を低減します。一方、EPPは、脅威がシステムを侵害する前に脅威をブロックする、予防型のツールです。アンチウイルスソフトウェアがウイルスをブロックするのと同じような働きをします。
• 防御アプローチ：EDRが採用している事前対応型の防御手法では、脅威がすでにシステム内に侵入しているものと見なし、システム内の脅威を積極的にハンティングします。EPPの場合は、もっと受動的なアプローチで脅威を食い止めます。
• 侵害発生時に処置を施す範囲：EPPはエンドポイントを隔離して脅威の影響を低減します。EDRソリューションは組織全体を対象として複数のエンドポイントからインシデントデータを収集して取りまとめ、それを基に適切な対処方法を判断します。

EDRソリューションに求められる要素

『The Forrester Wave™: Endpoint Detection And Response, Q1 2020』によれば、理想的なEDRソリューションを実現するには、以下のことを実現する必要があると言います。

• インシデントベースのセキュリティアナリティクスを提供：エンドポイントのシステムが侵害を受けたときに脅威を検知し、イベントの根本原因を特定できる高度な分析機能を備えている必要があります。この機能があれば、効率的な調査が可能になり、誤検知のアラートを減らすことができます。
• 対処を実行するツールを提供：EDRソリューションでは、脅威を食い止めるために、ネットワークの隔離やパーシステンスメカニズムの削除、ファイルの実行の阻止、プロセスの停止、ファイルの検疫などの対処をすばやく実行できる必要があります。
• MITRE ATT&CKフレームワークを高度に応用：MITRE ATT&CKのフレームワークを製品に直接組み込む必要があります。また、脅威の詳細な分析に生かすために、ATT&CKに規定されているテクニックに関して収集したデータをエクスポートできることも求められます。