SmartCloud コラム

エンドポイントセキュリティーは防御から対処へ

2020.06.30その他セキュリティー

column-iam1.jpg

高度化、巧妙化するサイバー攻撃に対抗するために、企業ではさまざまな対策を講じているでしょう。しかし、どれだけ防御の対策をしても日々新たに誕生する脅威を防ぎきることは困難になっています。
また、業務においてPCだけでなくタブレットやスマートフォンなど多種多様な端末を使うようになり、クラウドサービスの利用が増えました。そのためファイアーウォールで境界を構築しても、社外から社内ネットワークに接続している端末がひとたび攻撃を受けたり、マルウェア感染をすると、ほかの端末に感染が拡大する恐れがあります。
この流れから、ネットワークの末端である利用者の端末、つまりエンドポイントを脅威から守ることに加え、インシデントの検知・早期対応まで行うEDR(Endpoint Detection and Respons)の考え方が出てきました。

 

従来のエンドポイント対策の課題

従来のエンドポイントセキュリティー対策ではウイルス対策ソフトが導入されることが多く、これによりマルウェアの感染防御を行っています。既知の不正プログラムの特徴を示すパターンファイルを定義し、それと合致したものを排除する仕組み(パターンマッチング方式)が一般的です。

しかし、近年は未知の不正プログラムが使われるゼロデイ攻撃を含め、これまでのウイルス対策ソフトだけでは対応が不十分になってきています。例えば、標的型攻撃では、パターンマッチング方式では認識できないよう、既知のマルウェアを変更させた「亜種のマルウェア」が送信されるケースがあります。また、ファイルレスマルウェアはメモリに侵入しプログラムを悪用するもので、パターンファイルが定義できず、認識が難しいという特徴が知られています。

このように、防御という観点のエンドポイントセキュリティーでは、セキュリティー対策として完全とは言えなくなってきています。また、インシデントが発生してしまった場合、その検知・対処ができないという課題が残ります。マルウェアやランサムウェアへの対処が遅れると、組織内で他の端末への感染が広がってしまい、取り返しのつかない被害につながりかねません。

 

インシデントの検知・対処まで行うEDR

そこで登場したのがEDRです。EDRはウイルスに感染したり、攻撃を受けるのは防ぎきれないということを前提とし、それらを予見したり、発生した際の初動を迅速に行うセキュリティーソリューションです。

 

EDRでは主に以下のことが可能になります。

ネットワーク全体の各エンドポイントの挙動をリアルタイムに監視&可視化

EDRでは管理画面を通じて、社内/社外を問わずネットワーク全体を可視化できます。クライアントのオフィスに常駐したり、在宅勤務などの社内ネットワークの外の端末も監視できます。さらに端末の設定情報やアプリケーションなども可視化できるため、リスクのある端末に注意喚起し、トラブルを未然に防止できます。特に多くのエンドユーザーを抱える企業での導入には効果が高いでしょう。

 

ログを解析し、攻撃の予兆に対してもアラートを上げる

おかしな挙動や通常ではありえない操作などのログから攻撃を予兆し、アラートを上げます。日々進化する高度な攻撃に対応するため、人工知能(AI)と機械学習の技術を組み入れている製品もあります。

 

検知から対処までを自動で実行

従来は、あるエンドポイントで異常を検知すると、所有者への状況確認や実機調査後、対処の要否を判断していたため、検知から対処まで時間がかるケースがありました。しかし、EDRでは、検知から対処が自動化されるのでその時間を短縮できます。インシデント発生時において対処までの時間をいかに短くするかは、非常に重要です。

 

感染が疑わしいエンドポイントの隔離と他のエンドポイントの調査

感染が疑わしいエンドポイントを隔離し、他のエンドポイントが影響を受けていないかの調査を行います。これにより、被害を最小限に食い止めることができます。

 


従来のエンドポイントセキュリティーとEDRでは目的が異なります。防御を目的としたエンドポイントセキュリティーを用いつつ、防御の網をくぐり抜けてきた攻撃に備えて検知・対処まで行うEDRも導入することで、より強固な対策となるでしょう。

 

マネージドEDRサービスを利用するのも一案

EDRは、包括的なソリューションでインシデントを検知し、そのイベントを担当者に通知して、適切なタイミングで対処できるよう促すのが利点です。一方で、その仕組みを導入したとしても、多数上がってくる通知を前にして、膨大な通信ログを眺めても、何の対処をしたらよいか分からなくなるケースもあります。中小企業を始め、セキュリティーに関わるスキルや人材が不足している企業では、その運用が十分に回せない場合があるのです。

 

そのため、マネージドEDRサービスが注目を集めています。マネージドEDRサービスは、専門知識を持ったエンジニアがサイバー攻撃の防御・検知・対処を代行するものです。端末へのエンドポイントセキュリティー製品のインストールや、SOC(セキュリティー・オペレーション・センター)でのイベント監視、そして、マルウェアの検知や端末の隔離といった作業が含まれます。もし、自社でEDR運用が難しい場合には、マネージドEDRサービスを利用するのも一案です。

 

攻撃自体を阻止する対策は従来からもありましたが、攻撃に対する対処まで行うEDRの登場はセキュリティーに対する考え方の大きな転換点となっています。自社のセキュリティー対策には何が必要か、また運用まで考慮して、最適な対策を実施しましょう。

 

 

 

 

 

 ※記載されている会社名、製品名、サービス名は各社の商標または登録商標です。

 ※記載されている情報は、記載日時点のものです。現時点と異なる場合がありますので、あらかじめご了承ください。

 

関連するDLC

今求められるIAM(Identity & Access Management) とは? サムネイル
今求められるIAM(Identity & Access Management) とは?

激変する企業のIT環境で注目されているIDやアクセス認証を統合管理するIAMについて、その必要性を、市場動向などの定量的なデータを元に解説しています。


関連する記事


ページトップへ

お問い合わせ

「SmartCloud」問い合わせ

資料請求・お問い合わせ

ページトップへ