標的型などのサイバー攻撃は、エンドポイント(ユーザーが使う端末やサーバーなど)が攻撃者の狙う標的となります。対処が遅れればそれだけ被害は甚大になりかねません。エンドポイントを監視し、異常を検知したら瞬時に端末を遮断して、「攻撃の証拠を保存」し、全社的な対応を促すEDRは、被害を最小限に食い止める対策として注目されています。EDRがなぜ注目されるのか、EDRの特徴について説明します。
防御一辺倒では守れない、巧妙化するサイバー攻撃
年々巧妙化が進む標的型攻撃。警察庁の調査によれば、2017年の標的型攻撃メールの件数は前年の約1.5倍に増加し、過去最多の6027件に上りました。これもあくまで認知した件数に過ぎません。潜在的な攻撃はこれを大きく上回ることが容易に想像できます。
標的型攻撃のやっかいなところはいくつかあります。まず既存のエンドポイントセキュリティー製品では検知が難しい「未知のマルウェア」を用いるケースが多いことです。また最近では、OSが備える正規のツールを悪用したり、スクリプトを実行して侵入する「ファイルレス攻撃」が増加しており、検証対象のファイルが、すでに確認済みのマルウェアと一致するかデータベース(シグネチャー)を用いて判断するエンドポイントセキュリティー製品ではますます検出が困難になっています。
そこで近年、セキュリティー対策のアプローチに根本的な変化が必要だという考え方が広がってきました。米国立標準技術研究所(NIST)の「サイバーセキュリティーフレームワーク」や経済産業省の「サイバーセキュリティ経営ガイドライン」などがその例で、防御一辺倒ではなく、侵害がありうることを前提として検知、対処といった事後対応にも取り組むよう求めています。この流れのなかで急速に注目されているソリューションが「EDR」(Endpoint Detection and Response)なのです。
「侵入を前提とした対策」に取り組む現場が直面する課題
2017年、猛威を振るったランサムウェアが典型例ですが、ニュースで問題を知り、自社システム内での調査に取り組もうとして、作業の難しさを感じた人は少なくないでしょう。本社だけでなく支店や海外拠点も含めて、攻撃に悪用される恐れのある脆弱(ぜいじゃく)性が残った端末、すでに感染している恐れのある端末を洗い出す作業は困難で、時間もかかります。時には、台帳の情報とは異なり、いつの間にか社内ネットワークに加わった「幽霊端末」が見つかることもあり、こうした情報システム部の管理下にない端末こそ、マルウェア感染の原因になりやすいとされています。
組織内のパソコンがマルウェアに感染していることが判明したら、困難な作業が待っています。まず、内部での被害拡大を防ぐには、速やかにネットワークから遮断します。有線ネットワークだけの時代ならば「LANケーブルを抜いてください」で済んだかもしれませんが、多くのパソコンがワイヤレスでも接続されている現状では、設定画面を操作して設定変更しなければなりません。
さらに会社として再発防止を期するには、パソコン内のデータとネットワーク側のログを突き合わせて調査し、「いつ、何がきっかけでマルウェアに感染したか」を把握する作業を実施します。そして、パソコン側にデータが残っていたとしても、プロキシーサーバーやゲートウェイ、ファイアウォールの膨大なログと、エンドポイント側のログを突き合わせ、感染の引き金を突き止めるには、少なからぬ時間とノウハウが必要となります。しかし、感染力の高いマルウェアを相手にしている場合は、時間との勝負です。速やかに解析して対処しなければ、被害は拡大する一方です。
このように、いざ侵入を前提とした対策を実現しようとすると、セキュリティー運用の現場はさまざまな問題に直面することになり、この部分を支援するソリューションこそがEDRなのです。
ログの収集と遠隔制御で効率的な事後対策を実現するEDR 
