そもそもEDRとは?

EDRとは「Endpoint Detection and Response(エンドポイントでの検出と対応)」のことで、EDRプラットフォームは、エンドポイントの監視を強化するために構築され、標的型攻撃やランサムウェアなどによるサイバー攻撃を検出して対応するために使用するエンドポイント・セキュリティ・ソリューションです。

主にホスト/エンドポイントでの不審な挙動(およびその痕跡)の検出と調査に焦点を当てたツールとして、ガートナーのシニアアナリストAnton Chuvakin氏によって2013年にこの用語「EDR」が定義されました。

組織にEDRソリューションが必要な理由

標的型攻撃やランサムウェアなどによる高度な脅威から組織を保護する点において、エンドポイントのデータを活用することに利点があることは明らかです。エンドポイントはハッカーが活動する場所で、ハッキング活動の展開を一部始終、直接観察することができます。そのためにEDRプラットフォームが必要になります。

EDRプラットフォームは、エンドポイントおよびサーバーへの包括的な可視性を提供し、悪意のある活動を示す異常な挙動を監視および検出します。

EDRプラットフォームを使ってエンドポイントでの活動を継続的に監視および分析することで、他のセキュリティ保護ツールをすり抜けたサイバー攻撃に対する検知と対応が可能になります。

EDRソリューションに欠かせない重要な要素

高度なエンドポイントセキュリティプログラムであるEDRに欠かせない7つの重要な要素を以下に示します。
エンドポイントセキュリティソリューションまたはEDRの購入を検討する場合は、以下を参考に検討してみてください。

  1. サイバー攻撃の兆候を検知する
  2. 組織全体のログデータを相互に関連付ける
  3. ホワイトリストとブラックリストを動作分析と組み合わせる
  4. エンドポイントの活動を干渉せずに監視できる
  5. インシデントレスポンス(IR)とフォレンジック調査に役立つ
  6. インシデントへの効果的な対処と修復が可能
  7. アンチウイルスと連携する

EDRとアンチウイルスおよび次世代アンチウイルス(NGAV)との違い

アンチウイルス(AV)は、かつてはエンドポイントを保護する有力な方法でした。このソフトウェアは、悪質なプログラムを検出し、実行を阻止し、セキュリティ担当者にそれらの除去方法を提供するように設計されています。

しかし、サイバー攻撃の脅威はますます高度なものになり、マルウェアは今や単なる脅威ベクトルの悪用どころか、企業を保護するAVの効力を大きく低下させています。

現在の攻撃者は、攻撃の展開にファイルレス型マルウェア、ゼロデイ攻撃、高度標的型攻撃(APT攻撃)を使用することができます。これらの新しい脅威はシグネチャを使用しないため、従来のウイルス対策プログラムではそれらを検知して阻止することができません。

アンチウイルスがその効力を失うと、セキュリティベンダーは、そのレガシー製品の後継製品を次世代アンチウイルス(NGAV)と名付けました。しかし、この用語の定義が受け入れられていないため、NGAVの要素を正確に特定することができません。次世代アンチウイルス(NGAV)の製品は、シグネチャに基づいた検出だけでは十分でなく、何らかの先進技術を組み込む必要があります。

AVとNGAVはどちらも、特定の兆候を見つけることによって検出を行いますが、人間の創意工夫や攻撃者の行動まで考慮しません。攻撃者らはすぐに順応し、戦術を変え、最終的にはNGAVの回避方法を見つけ出すことでしょう。AVもNGAVも本当の意味で行動検出を行ないません。

  1. NGAV(次世代アンチウイルス)製品は、依然として悪質な挙動に関連する特定のファイル属性を探索している
  2. 多くのNGAVは一度に1台のマシンしか観察しない。すなわち、複数のエンドポイントからのデータを相互に関連付けることができず、1台のマシンで発生している事象しか知ることができない
  3. NGAVは攻撃の防御にのみ力を入れているため、防御できない攻撃の場合、実際に起きたものをほとんど、あるいはまったく認識できない

EDRプラットフォームではエンドポイントの可視性が強化され、単純なマルウェアのインジェクションを超えて進化し、NGAVでは捕捉できなかった脅威を検出することができます。

EDRソリューションはすべての関連する攻撃活動を総合し、攻撃の及ぶ範囲を特定し、フォレンジック調査に大きく貢献します。

EDRソリューションベンダーの選択

EDRツールを製品に組み込んでいるベンダーは数多くあります。ガートナーが提供しているこちらのEDRソリューションのリストで、各ソリューションのランキングと詳しい情報をご確認ください。

サイバーリーズンのEDR

「Cybereason EDR」は、エンドポイントの膨大なログデータを、AIを活用した独自の分析ノウハウを用いて解析することで、サイバー攻撃の兆候をリアルタイムに検知し、組織が抱えるサイバー攻撃対策の課題を解決するEDRソリューションで、イスラエル軍の諜報部隊(8200部隊)でサイバーセキュリティに携わったメンバーらによってEDRの研究、開発を続けています。

また、サイバーリーズンでは、「EDR」に加えて、マルウェアが実行される前のブロック機能である「NGAV(次世代型アンチウイルス)」機能を追加し、攻撃のあらゆる段階において脅威を自動的に回避する次世代エンドポイントセキュリティプラットフォーム「Cybereason Complete Endpoint Protection」を提供します。

「Cybereason EDR」の機能の詳細はこちらをご確認ください。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/

ホワイトペーパー:次世代エンドポイントのメリット