そもそもEDRとは?

EDRとは「Endpoint Detection and Response(エンドポイントでの検出と対応)」のことで、EDRプラットフォームは、エンドポイントの監視を強化するために構築され、標的型攻撃ランサムウェアなどによるサイバー攻撃を検出して対応するために使用するエンドポイント・セキュリティ・ソリューションです。

主にホスト/エンドポイントでの不審な挙動(およびその痕跡)の検出と調査に焦点を当てたツールとして、ガートナーのシニアアナリストAnton Chuvakin氏によって2013年にこの用語「EDR」が定義されました。

EDRの仕組み

EDRは、エンドポイント上でマルウェアやランサムウェアによる不審な動きがないかどうか、常時監視を行います。そのために、監視対象のエンドポイントに専用のエージェントソフトウェアを導入し、ログを常時取得しています。このログデータはサーバ上に集められ、まとめて分析処理が行われます。ここでもし疑わしい挙動の痕跡が見付かったら、その旨をすぐに管理者に通知します。

この通知を受け取った管理者は、EDRの管理画面でログの内容をさらに精査することで問題の根本原因や影響範囲を調べ、適切な対応を取ります。EDRは、こうした事後対応を迅速かつ効率的に行えるように、ログの内容をさまざまな角度から分かりやすく可視化する機能も提供します。

EDRで得られる効果

近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、マルウェアの侵入や感染を100%防ぐのはもはや不可能だといわれています。従って、マルウェアの侵入を防ぐための対策だけでなく、万が一侵入を許してしまった場合に備えて、その存在をいち早く検知して脅威を除去する対策が不可欠です。

EDRは、まさにこうしたニーズに合致する製品だといえます。企業は前項で挙げたEDRの機能を活用することで、社内ネットワークに侵入したマルウェアやランサムウェアが本格的な活動を始めて問題が深刻化する前に、その存在をいち早く検知・除去できるようになります。またその際、EDRの可視化機能を活用することで、感染の根本原因や影響範囲を容易に把握できるため、事後対応を効率的に、かつ迅速に行えるようになります。

組織にEDRソリューションが必要な理由

標的型攻撃やランサムウェアなどによる高度な脅威から組織を保護する点において、エンドポイントのデータを活用することに利点があることは明らかです。エンドポイントはハッカーが活動する場所で、ハッキング活動の展開を一部始終、直接観察することができます。そのためにEDRプラットフォームが必要になります。

EDRプラットフォームは、エンドポイントおよびサーバーへの包括的な可視性を提供し、悪意のある活動を示す異常な挙動を監視および検出します。

EDRプラットフォームを使ってエンドポイントでの活動を継続的に監視および分析することで、他のセキュリティ保護ツールをすり抜けたサイバー攻撃に対する検知と対応が可能になります。

EDRソリューションに欠かせない重要な要素

高度なエンドポイントセキュリティプログラムであるEDRに欠かせない7つの重要な要素を以下に示します。
エンドポイントセキュリティソリューションまたはEDRの購入を検討する場合は、以下を参考に検討してみてください。

  1. サイバー攻撃、高度標的型攻撃(APT攻撃)の兆候を検知する
  2. 組織全体のログデータを相互に関連付ける
  3. ホワイトリストとブラックリストを動作分析と組み合わせる
  4. エンドポイントの活動を干渉せずに監視できる
  5. インシデントレスポンス(IR)とフォレンジック調査に役立つ
  6. インシデントへの効果的な対処と修復(インシデントレスポンス)が可能
  7. アンチウイルスと連携する

EDR製品の選定ポイント

現在、市場にはさまざまなEDR製品が存在しますが、そのすべてがEDRに求められる機能を完全に備えているわけではありません。そこでEDR製品の導入を検討する際には、大きく分けて以下の5つの観点から機能や性能の評価を行うといいでしょう。

検知能力は十分か?

未知のマルウェアや、ファイルレス攻撃など最新の脅威をきちんと検知できるどうか、事前に確認しておく必要があるでしょう。また、複数のエンドポイント間でアクティビティを相互に関連付けることで、高精度な脅威検出が可能かどうかも重要な評価ポイントです。

調査作業を支援する機能は十分か?

もし脅威が検知された際には、その原因や感染経路、影響範囲などを調査する必要があります。優れたEDR製品には、この作業を自動化・効率化できる機能が備わっています。例えば、遠隔地にある感染端末のプロセスを強制的にシャットダウンできたり、疑わしいファイルの隔離やログの保存などを遠隔から行う機能がEDR製品にあれば、調査作業はかなり効率化されるはずです。

容易に展開できるか?

EDRは監視対象のエンドポイントにエージェントソフトウェアを導入する必要がありますが、これを容易に行えるかどうかも重要な選定ポイントです。「エンドユーザーの業務に影響を与えずにエージェントをエンドポイントに展開できるか」「事前設定した状態で展開できるか」といった点はぜひ事前に確認しておきたいところです。

既存の環境に与える影響は?

たとえ高機能なEDR製品でも、既存ICT環境に高い負荷が掛かるようでは業務にマイナスの影響が出てしまいます。「エージェントはカーネルモードだけでなくユーザーモードでも動作するか」「エンドポイントのCPU/メモリやネットワークに過度な負荷を掛けないか」といった点は、できれば事前に実環境で検証・評価しておきたいところです。

サーバ上の分析処理の精度は?

EDRは各エンドポイントで取得したログデータをサーバ上に集め、分析処理を行うことで脅威を検知します。このサーバの機能如何によって、脅威の検知精度やシステム全体の安定性が大きく左右されます。異なるエンドポイント間のアクティビティを相互に関連付けて分析する機能や、外部の脅威インテリジェンスの情報も組み合わせて分析するなど、より高度な分析処理を備えたEDRソリューションを選ぶべきでしょう。

EDRとアンチウイルスおよび次世代アンチウイルス(NGAV)との違い

アンチウイルス(AV)は、かつてはエンドポイントを保護する有力な方法でした。このソフトウェアは、悪質なプログラムを検出し、実行を阻止し、セキュリティ担当者にそれらの除去方法を提供するように設計されています。

しかし、サイバー攻撃の脅威はますます高度なものになり、マルウェアは今や単なる脅威ベクトルの悪用どころか、企業を保護するAVの効力を大きく低下させています。

現在の攻撃者は、攻撃の展開にファイルレス型マルウェア、ゼロデイ攻撃、高度標的型攻撃(APT攻撃)を使用することができます。これらの新しい脅威はシグネチャを使用しないため、従来のウイルス対策プログラムではそれらを検知して阻止することができません。

アンチウイルスがその効力を失うと、セキュリティベンダーは、そのレガシー製品の後継製品を次世代アンチウイルス(NGAV)と名付けました。しかし、この用語の定義が受け入れられていないため、NGAVの要素を正確に特定することができません。次世代アンチウイルス(NGAV)の製品は、シグネチャに基づいた検出だけでは十分でなく、何らかの先進技術を組み込む必要があります。

AVとNGAVはどちらも、特定の兆候を見つけることによって検出を行いますが、人間の創意工夫や攻撃者の行動まで考慮しません。攻撃者らはすぐに順応し、戦術を変え、最終的にはNGAVの回避方法を見つけ出すことでしょう。AVもNGAVも本当の意味で行動検出を行ないません。

  1. NGAV(次世代アンチウイルス)製品は、依然として悪質な挙動に関連する特定のファイル属性を探索している
  2. 多くのNGAVは一度に1台のマシンしか観察しない。すなわち、複数のエンドポイントからのデータを相互に関連付けることができず、1台のマシンで発生している事象しか知ることができない
  3. NGAVは攻撃の防御にのみ力を入れているため、防御できない攻撃の場合、実際に起きたものをほとんど、あるいはまったく認識できない

EDRプラットフォームではエンドポイントの可視性が強化され、単純なマルウェアのインジェクションを超えて進化し、NGAVでは捕捉できなかった脅威を検出することができます。

EDRソリューションはすべての関連する攻撃活動を総合し、攻撃の及ぶ範囲を特定し、フォレンジック調査に大きく貢献します。

EDRソリューションベンダーの選択

EDRツールを製品に組み込んでいるベンダーは数多くあります。ガートナーが提供しているこちらのEDRソリューションのリストで、各ソリューションのランキングと詳しい情報をご確認ください。

サイバーリーズンのEDR

「Cybereason EDR」は、エンドポイントの膨大なログデータを、AIを活用した独自の分析ノウハウを用いて解析することで、サイバー攻撃の兆候をリアルタイムに検知し、組織が抱えるサイバー攻撃対策の課題を解決するEDRソリューションで、イスラエル軍の諜報部隊(8200部隊)でサイバーセキュリティに携わったメンバーらによってEDRの研究、開発を続けています。

また、サイバーリーズンでは、「EDR」に加えて、マルウェアが実行される前のブロック機能である「NGAV(次世代型アンチウイルス)」機能を追加し、攻撃のあらゆる段階において脅威を自動的に回避する次世代エンドポイントセキュリティプラットフォーム「Cybereason Complete Endpoint Protection」を提供します。

「Cybereason EDR」の機能の詳細はこちらをご確認ください。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/

ホワイトペーパー:次世代エンドポイントのメリット