EDRとは

2015年ごろから、日本のエンドポイントセキュリティ市場ではEDR(Endpoint Detection and Response)製品が注目されています。従来、マルウェアの検知は、マルウェア検体をもとにシグニチャを形成して防御する機能を中心に発展してきましたが、昨今のマルウェアは標的型攻撃や多種多様な亜種を簡単に作成できるツールなどが存在するため、検体を入手することが難しくなっています。また、2016年に起きたサイバー攻撃のうち、マルウェア等が47%を占めますが、53%はPowershellやOffice Micro等の正規ツールを悪用して実施されており、攻撃者のスキルの向上と相まって、既存のセキュリティツールでは検知できなくなると思われます。

こういった事情から、「マルウェアに感染することが前提の対策」が必要になっているのです。

EDR製品の特徴

これまでのエンドポイントセキュリティ製品は、ウイルス検知・防止機能が主な機能でした。しかし、脅威の変化とともにアプリケーションコントロールやアンチスパイウェア、ルートキット対策、パーソナルファイアウォールやデバイス制御など、次々と機能を追加し、総合対策製品として進化しました。つまり、「マルウェアに感染しないこと」を目的としているのです。

これに対し、EDR製品はエンドポイントでの脅威を検知し、対応を支援する製品です。エンドポイントの情報を収集し、それを元に怪しいファイルやプロセスの特定・削除などの作業を一元的に管理します。そういった働きで、感染後のインシデント対応時間の短縮というニーズに応えられるようになっているのです。

EDR製品の機能としては、主に3つを提供します。「検知」・「遮断」・「調査」です。EDRは、エンドポイントにおける各種プログラムのふるまいを監視し、インシデントの有無を判断します。また、もし疑わしい動きを検知した際にその端末の通信を遮断したり不審なプロセスの実行を止めます。さらにシステム上のふるまいを記録します。

また、トレンドマイクロ社は一般的なアンチウイルスソフトについて、「解析によって顕在化した脅威に対するもので、端末に潜在する脅威に対するものではない」とし、「あらゆる標的型サイバー攻撃が完璧に検知・ブロックできる保証はなく、解析によって不審な端末が特定できたとしても、どのような経路をたどってその端末に脅威が侵入したのか、あるいは、攻撃の手がどの範囲に及んでいるかを迅速に把握することも難しい」と述べています。その上で、EDR製品による端末の調査・解析については「そうした(一般的なアンチウイルスソフトの)対策上の隙間を埋め、インシデント対応の遅れによって被害が拡大するリスクを抑える有効なソリューションと言える」と導入の重要性を訴えています。

参考:標的型サイバー攻撃対策の次の一手、EDRとは

EDRソリューションには7つの重要な要素があると言います。EDR製品を検討している方は参考にしてみてください。

  1. サイバー攻撃の兆候を検知する
  2. 組織全体のログデータを相互に関連付ける
  3. ホワイトリストとブラックリストを動作分析と組み合わせる
  4. エンドポイントの活動を干渉せずに監視できる
  5. インシデントレスポンス(IR)とフォレンジック調査に役立つ
  6. インシデントへの効果的な対処と修復が可能
  7. アンチウイルスと連携する

参考:EDRとは何か?〜EDRの基礎知識

EDRを利用したエンドポイント解析では、大きく次の2点が可視化されます。

1点目が、ウイルスに感染し、不正アクセスの痕跡がある端末の可視化です。ファイルやハッシュ値などの情報から、ウイルスが社内のどの端末に潜んでいるか、またC&CサーバーのURLなどからどの端末がC&Cサーバーにアクセスしたかわかるようになっています。

2点目は、侵入原因や経路、被害の可視化です。感染からどのような処理を行い、どのような情報を外部に送信したか把握できます。さらに、EDR製品の中にはウイルスと思われる処理が動いているエンドポイントに対し、管理者がリモートで処理停止を実行できる機能を持つものもあります。

トラストウェーブ社によるマネージドEDRサービス

シングテルの子会社であるトラストウェーブ社では、「マネージドEDR (MDRe: Managed Detection & Response for End Point) サービス」を提供しています。これは、セキュリティ脅威の早期検知と分析・対応で、企業のインシデントレスポンスを支援する標的型攻撃サービスです。このサービスの特長については前回のブログで書きましたが、ここでは、そういったサービスが提供されるに当たっての背景を紹介します。

サイバーセキュリティの分野で標的型攻撃の高度化と巧妙化が進み、攻撃者からの侵入を難しくなってきているということはすでに書きました。企業の情報システム部門では、脅威の過検知というものが多々あります。それらにより業務影響の調査やアラート対応が増大する一方で、日々増え続ける脅威に対しては検知の閾値を安易には下げることができず、セキュリティ対策の運用負荷が問題となっています。また、インシデント発生の疑いがある際も、その影響範囲を特定するためのPCログ分析でも十分なログが保存されておらず、調査が進まないという課題もあります。

こういった理由で、企業内部で完結させるのではなく、トラストウェーブ社のような専門集団に任せる動きが出てきているのです。