ITセキュリティはアンチウイルスから始まった

EDR(Endpoint Detection and Response)とは、エンドポイント(後述)において、セキュリティ上のリスクをいかに検知し、万一の事態が発生したときのレスポンス、つまり対応までを一貫して実現するためのツール、ないしサービスのことである。

エンドポイント、つまりは社内の従業員が日常的に使うPC、業務使用のために配布されているスマートフォンやサーバーなど、ネットワークの末端にある端末全般を保護するために構築された、新しいセキュリティ分野になる。

このEDRの必要性を理解するには、インターネットの進化に伴うセキュリティリスクの変遷を頭に入れておくと分かりやすい。エンドポイントにおけるセキュリティ対策で最も基本的なのが「アンチウイルス」で、これを知らない企業ユーザーはほぼいないだろう。著名なセキュリティ製品も、アンチウイルス機能を提供するためのソフトとして出発し、その後は関連機能を統合し続ける形で発展してきたものが多い。

アンチウイルスの仕組みとしては、定義ファイルやパターンファイルなどと呼ばれるデータベースを元に、対象ファイルがウイルスに感染しているかを調査している。逆に言えば、データベースに載っているウイルスでなければ、感染しているかを判別できない。近年では、ファイルの挙動(振る舞い)ベースでウイルスを検知できるエンジンも進化しているが、それでも全てのウイルスを検知可能になったわけではないという。

そして何より、セキュリティ上の脅威は必ずしもファイルだけが起点ではなくなっている。特に最近取りざたされているのが「ファイルレス攻撃」で、Windowsに標準されているPowerShell機能を、何らかの方法で外部から悪用するのが最たる例だが、この際ウイルスに感染したファイルがエンドポイントに保存されていなくても被害を受けてしまう。

また最近では、Webサイト閲覧時の通信がhttps化(SSL化)、つまり暗号化されている。第三者にIDやパスワードを盗み見られる可能性は相対的に減ったものの、通信を監視するための仕組みは複雑化せざるを得ない。また、ウイルス(マルウェア)自体が暗号通信でエンドポイントをあやつるケースも当然生まれてくる。

アンチウイルスなど、既存セキュリティ製品の機能強化が日々行われているとはいえ、攻撃がそれらの対策をすり抜けてしまう可能性は、以前より高くなっているのは確かなようだ。

攻撃を100%防ぐことはできない、だからこそEDR

となれば、次に重要となってくるのが「被害を受けたらどうするか」になる。社内ネットワークに侵入されたことに1カ月気付かないとなると、情報流出の被害が相対的に大きくなるため、このタイムラグを1分1秒でも短くすることが重要。そこで、EDRの出番となってくるわけだ。

EDRは既存のアンチウイルスやファイアウォールといったセキュリティ製品を置き換えるものではなく、ウイルス被害やサイバー攻撃を実際に受けた兆候、あるいはその予兆を能動的に検知するための監視ツール──と考えれば分かりやすいだろう。

そこには当然、被害を受けた端末をネットワークから簡単に切り離すといった機能なども盛り込まれている。具体的な挙動だが、アンチウイルスは原則「ファイルがウイルスに感染しているか」をチェックするのに対し、EDRはOS全体の挙動、レジストリやメモリー、急に高頻度で利用されるようになったソフトウェアの判別など、より多岐にわたった監視が行われる。

いわゆる「フォレンジック」のための情報収集機能も持ち合わせており、ファイルやソフトの動作状況などをログとして保存・分析することで、侵入経路の割り出しや事後検証に役立てられるようになっているという。

EDRという用語は2013年、米国の調査会社であるガートナーによって初めて定義されたとのことで、以来EDRを掲げる製品はさまざまなベンダーから多数提供されており、今ではアンチウイルス製品でもEDR機能を搭載する製品が登場している。

例えば、サイバーリーズンの「Cybereason EDR」、サイランスの「CylanceOPTICS」、Carbon Blackの「Cb Response」、CrowdStrikeの「CrowdStrike Falcon」、ソフォスの「Intercept X Advanced with EDR」、シマンテックの「Symantec EDR Cloud」など、挙げていくとキリがないほどだ。

EDRの「理想と現実」

このように、EDRはその効果が評価され比較的ポピュラーになってきているのだが、ではEDRさえ導入すれば万事うまく解決するのかといえば、そううまくはいかない。

企業では既に複数のセキュリティ製品を導入済みであり、エンドポイントに導入している製品が増えれば増えるほど、端末の性能への影響も大きくなるし、管理するソフトが増えれば、当然社内のシステム部門スタッフの負荷が高くなってしまう。

さらにEDRは、ウイルスやサイバー攻撃の“予兆”を検出するという性質上、誤検知の可能性は常につきまとう。このため、利用環境に合わせた調整が必要になるうえ、集まってきた情報を分析して、実際にウイルスなのかどうかを判定する人間も必要だ。

つまり、EDRは担当者による運用あってこそ機能するものだが、それは業務量の増大と同義となる。そこで、こうした運用をサービスとして提供する、MDR(Managed Detection and Response)というサービスが登場してきた。

通常、24時間365日体制でのセキュリティ監視・脅威分析を提供するほか、対処や再発防止対策などを含めて、セキュリティ運用をトータルに支援してくれるものが多いが、その分、自社運用に比べてコストは上がってくる。EDRを利用するのであれば、企業は自社の体制を考慮したうえで、運用体制を考えていく必要があるだろう。

そしてEDRを考えるうえで最も重要な点は、ほかのセキュリティ製品と同様、EDRは万能ではないという点だ。あくまでEDRは、“境界線(防衛ライン)”をすり抜けてきた脅威に対しての対策であり、EDRの動作アラートがそれこそ日常的に発せられていてはダメで、境界線そのものの強化も同じく重要となる。

EDRはあくまで保険であり、セキュリティを守るうえでは「さまざまな要素をトータルに考える必要がある」という点を再度確認すべきだろう。

  • * 本稿に記載された各種IT製品、テクノロジーにつきましては、記事制作時の技術動向に関する幅広い知見を基にして構成されています。これは制作を担当したクラウドWatch編集部(株式会社インプレス)の所見であり、大塚商会においてお取り扱いのないものも含まれております。あらかじめご了承いただきますようお願いします。