次世代型エンドポイントセキュリティー「EDR」
- # サイバー攻撃
- # 企業セキュリティー
- # 情報セキュリティー10大脅威
- # エンドポイントセキュリティー「EDR」
2021年9月24日
増え続けるサイバー攻撃
サイバー攻撃による、データ侵害とセキュリティーの脅威は頻度と複雑さを増しています。
情報処理推進機構(IPA)※1が今年発表した「コンピュータウイルス・不正アクセスの届出状況[2020年(1月~12月)]」によると2020年に寄せられた不正アクセス届出の年間件数は前年の89件から2倍以上の187件で、このうち被害があったのは143件と全体の76.5%を占めており、脅威の頻度は大きく増加傾向にあります。
さらに、攻撃はより組織的に金銭取得を目的に行われる傾向にあり、IPAが今年発表した「情報セキュリティ10大脅威2021」では、「ランサムウェア(身代金要求型ウイルス)による被害」はついに1位にランクインしました。サイバー犯罪者グループはランサムウェアを用いて、あらゆる分野のさまざまな規模の組織を狙い、企業の重要データを人質に、身代金を要求しています。
そういったサイバー犯罪者グループは、従来型アンチウイルスに検知されない様々な手法を開発しています。代表的なものは「ファイルレス攻撃」で、「ファイルレス攻撃」ではシステムに侵入する際、パワーシェルのようなWindows※2 OSに標準搭載された信頼されたツールを悪用し、端末の防御機能を停止させ、被害を拡大します。マルウェアを用いないため、従来型アンチウイルスでの検出が困難となります。
テレワークにより見直しを迫られる企業のセキュリティー対策
また、新型コロナウイルス感染症(COVID-19)の世界的な蔓延は、企業のITセキュリティー環境に急激な変化をもたらしました。
COVID-19により、企業はテレワークの導入を急加速させましたが、急ピッチで用意されたテレワーク環境はセキュリティーへの考慮が十分でない可能性が問題になっています。実際、「情報セキュリティ10大脅威2021」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」は初登場で3位にランクインし、サイバー攻撃の増加が確認されています。
テレワークで用いられる社外端末は、様々なセキュリティーリスクをはらんでいます。
社外端末はセキュリティーが強固に守られているオフィスの外側にあるため、ファイアーウォール、プロキシ、サンドボックスといった従来の境界型セキュリティー対策が十分に機能しない可能性や、偽のアクセスポイントに接続してしまう可能性、テレワーク用のソフトやアプリの脆弱性を狙われる可能性などがあります。
そうして一旦社外端末が感染すると、社内管理サーバから端末の状況把握、迅速な対処が困難といった課題も挙げられています。
次世代型エンドポイントセキュリティー「EDR」
このような諸課題により、PCやサーバなどのエンドポイントのセキュリティーをより強化することが求められており、次世代型エンドポイントセキュリティー「EDR(Endpoint Detection and Response)」が注目されています。
従来のエンドポイントセキュリティーには、アンチウイルス(AV: Antivirus)や次世代型アンチウイルス(NGAV: Next Generation Antivirus)といった製品がありますが、これはEPP(Endpoint Protection Platform)と呼ばれ、「侵入を防ぐこと」を目的としています。
一方EDRは、「侵入を前提として侵攻を防ぐこと」を目的としており、EPPをすり抜けた脅威の「不審な挙動」を検知し、疑わしいプロセスを遮断し、侵入後の痕跡を記録します。EPPとEDRはそれぞれで役割が異なるため、EPPで大部分の脅威を除去し、それでもなおすり抜けてくる脅威にEDRで検知、対応を行う対策が推奨されます。
EDRは、脅威に対する高度な「検知」「調査」「対応」機能を提供し、組織・システム内のあらゆるエンドポイントの挙動ログをリアルタイムで蓄積し、端末の不審な挙動から攻撃を検出し、リモートでの端末隔離による感染拡大防止を可能とします。さらにログは可視化され、攻撃手法や侵入経路、影響範囲の特定といった詳細な調査・分析をサポートします。
収集したログは証拠保全の役割も持つため、端末側で保持せず、第三者に改ざんされないようにクラウド型プラットフォームを持つEDRを採用することが望ましい姿となります。
セキュリティー運用の重要性
EDRは優れたエンドポイントセキュリティー製品ですが、導入を検討するに当たり留意しておきたい点があります。それは、多くのセキュリティー製品と同じく、「導入して終わり」の製品ではなく、使いこなす必要があるということです。
EDRは、「不審な挙動」を検知し、システムで分析した結果を脅威度としてアラートで上げるため、閾値によっては誤検知・過検知が発生することも少なくありません。そういったアラートのチューニングや、最終的な判断には人の手が求められます。また、実際にインシデントが発生した際には、素早く一次対応を行う為の運用体制や、被害状況を外部へ公表できるようまとめ、発生した脅威の対策を立案する専門的な知識が必要となり、そういった人材がいない場合、EDRは機能を最大限に発揮できない場合があります。
EDRの導入には導入後の運用をどれだけイメージできるか、自社で使いこなせるのかを踏まえて検討し、場合によっては運用をアウトソーシングすることが成功の鍵になります。
- 情報処理推進機構(IPA)は独立行政法人情報処理推進機構の登録商標です。
- WindowsはMicrosoft Corporationの登録商標です。
【IPAより引用】
関連サービス・製品
MINDメールマガジン
「With MIND」ご案内
三菱電機インフォメーションネットワーク(MIND)が、多くのお客様の声にお応えして、メールマガジンを始めました!
MINDメールマガジン「With MIND」は、最新トレンド、新製品・サービスなど広いテーマ情報をお届けします。
きっとお客様の仕事の質の向上に繋がる気づきがありますので、ぜひご登録ください。
-
MINDが行う、オンライン/オフラインのイベントやセミナーの開催情報をいち早くご案内いたします。
-
MINDの製品・サービスのご紹介や、新製品のリリース案内、キャンペーン情報などをご案内いたします。
-
市場トレンドや、業務改善のポイントなど、今知っておきたい情報をお届けします。
ひと息つけるコンテンツも!
