EDR(Endpoint Detection and Response)は、ユーザーの端末の監視として行い、サイバー攻撃や、不正アクセスの初期の検出など、「エンドポイント」で行うセキュリティ業務やEDRを行うソリューション(アプライアンス・ソフトウェア・プラットフォームなどの組みわせ)を指す用語です。
サイバー攻撃などの外部からの悪意ある攻撃・ユーザーのルール違反の監視など、ユーザーからのセキュリティへの脅威を早期に除去することを主な目的に導入・実行等が行われます。
EDRとは
EDRとは「Endpoint Detection and Response」の略で、直訳するとエンドポイントでの検出と対応を指します。
EDRプラットフォームは、なかでもエンドポイントの監視を強化するために構築され、サイバー攻撃を検出して対応することが目的として開発、利用されています。不審な挙動の検出と調査に焦点を当てたツールとして、「EDR」が定義されたものです。
EDRは、エンドポイント上で監視をします。PC上に「代理人」ソフトウェアであるエージェントがインストールされ、そのログデータがサーバ上でまとめて分析されます。
疑わしい挙動がある場合は管理者に通知されますので、管理者はログを精査して適切な対応を取ることができます。ログは様々な切り口から分析・可視化する機能もあり、攻撃・不正アクセス・通信・実行ファイルの特定など、様々な脅威をリアルタイムで監視することができます。
ところで、EDRとよく似た機能を持つものとして、EPP(Endpoint Protection Platform)があります。EPPは、EDRが攻撃後の対応を中心として構成されるソリューションであるのに対し、主に予防を目的としています。攻撃が行われる前の通信で検知・不正アクセスの前にブロック・あるいはウイルスの攻撃前の除去などに焦点が当てられます。
EPPとEDRは、機能が一部重なるところがありますが、組み合わせ・あるいは統合ソリューションにより、サイバー攻撃の対応により実効性のある対処が可能になります。この二つの関係は後で詳しくご説明します。
EDRの機能
EDRの機能については、EPPの機能が攻撃の予防・攻撃の前に検知・除去することに重点が置かれるのに対し、その次の段階の機能を集約したもの、と考えるとわかりやすいです。主な機能・特長は次の4つです。
1. 攻撃を仕掛ける通信および侵入の初期で検知できるため、サイバー攻撃、高度標的型攻撃(APT攻撃)の兆候を検知することができます。また、検知するだけであればEPPでも検知は可能ですが、検知の詳細分析までできるのがEDRの機能の特色です。
2. 検知した異常だけでは攻撃の正体がわからないケースも多く、分析機能は重要です。EDRは高度な分析機能に特色があり、サーバにストアされた組織全体のログデータを相互に関連付けたうえ、分析することができます。アクセス権や、インストール権限のホワイトリストとブラックリストを動作分析と組み合わせることもできます。また、分析は、可視化できるのもEDRの機能の特徴です。
3. エージェント方式をとるため、エンドポイントの活動を干渉せずに監視できます。干渉しないということは、内部不正を行うユーザーにもわかりにくいので、フォレンジック調査などにも威力を発揮します。
4. インシデントレスポンスに必要で、客観的な情報がそろうため、効果的な対処と修復が可能になりますし、また、攻撃の初期に対応するので、アンチウィルスソフトの機能の中でも除去機能や検疫機能を効果的に動作させやすいのです。
EDRのメリット
EPPが普及している昨今ですが、近年ではEDRが注目されています。これはなぜでしょうか。
EPPでは対応できない領域をカバー
EPP(Endpoint Protection Platform)は、エンドポイント保護プラットフォームとも呼ばれています。エンドポイントの保護を目的としたセキュリティ対策ツールの総称で、ウイルス対策ソフトがEPPの一部として組み込まれていることもあります。
ところが、EPPは単体ではセキュリティ対策として十分かどうか、現在の攻撃、特にマルウェア・高度標的型攻撃のありように照らすと、それだけでは問題点もあると考えられます。
APTなどの高度な攻撃に対応
まず、感染を予防するEPPに対し、EDRは感染後に被害を抑えることが目的ですが、EPPをすり抜ける攻撃が実際には多数あり、EPPの保護だけでは被害を食い止められない点が問題です。
現在のマルウェアは、通信による遠隔操作でターゲットに攻撃を仕掛けますし、実行ファイルもターゲットの動きにより順序が決められるなど、巧妙かつ執拗です。
そのため、EPPの防御を、通信で巧妙にすり抜けることが可能ということが知られているので「振る舞い検知」といって、攻撃者ないしマルウェア・通信の総合的な判断から、マルウェアなどの攻撃を検知することが必要です。同時に、始まった攻撃をいかにコントロールできるかも問題になります。
高度な情報統合・分析もカバー
サイバー攻撃に対しては、分析に基づき、いくつかの予兆や、いくつかの異常な動作を統合し、最適な対応を管理者が判断することが求められます。いったんサーバにエージェントがデータを送り、他のログとの統合を図るといったEDRの機能は、攻撃をピンポイントで食い止めるEPPよりも高度な攻撃に対応できます。
日本でも、最近の大きなセキュリティインシデントは、数か月にも及ぶ執拗なAPTによると考えられているものがあります。技術的に予防によりできることは限られており、仮に攻撃があったとしても被害がコントロールできれば企業活動に対する影響は抑えられることから、EDRによる対応がより重要視されているのです。
マルウェアやランサムウェアをいち早く検知・除去
マルウェアやランサムウェアは、いち早く検知し、除去することが求められます。EDRの振る舞い検知と可視化機能で感染の根本原因や影響範囲を容易に把握できると、マルウェア・ランサムウェアは早期に正確に除去することも可能です。
また、エンドポイントをある程度の期間にわたり、ユーザーに気づかれずにコントロールしながら監視することができるので、ハッキング活動を直接観察することができます。
組織の外部だけでなく、内部不正も重要なセキュリティ上の課題であり、ハッカーの行為を結果として利する利用をしているケース・そもそもハッカー並みに悪意のあるケースなど様々です。
EDRによれば、不正な端末の利用を行っている内部のコンプライアンス違反・セキュリティ規則違反の行為も併せて監視することが可能です。
EDR製品を選ぶポイント
EDR製品は、クラウド型・サーバ型・アプライアンス型が各種提供されていますが、選定のポイントは以下の通りです。
優れた検知能力
最新の脅威を検知できるようになっているか、また、複数のエンドポイント間でのログデータを関連付けられるかが問題です。言い換えると、振る舞い検知に十分なデータがそろうものか、また、最新のパターンファイルなどの情報を更新しやすいかが検討課題になります。
効率のよい調査・対応
情報を取って分析できたとしても、手動ではとても攻撃を効果的にコントロールするのにはスピードが間に合いません。
調査や対応を自動化・効率化できるかどうかもポイントです。
自動分析・自動での情報管理・管理画面での可視化はもちろんのこと、対応としては、感染端末の強制シャットダウンやファイル隔離、ログの保存などを遠隔から行う機能があると、防御に時間がかからず、効果的に攻撃をコントロールできます。
また、EDRは各エンドポイントで取得したログデータを組み合わせる機能の豊富さも重要です。多数の一見関係ないように情報であっても、効率的に統合したうえで、短時間で分析し、対応に生かせるかが問われるからです。
エンドポイントへの展開
エンドポイントへの展開が効率的であるかどうかも問題になります。エージェントソフトの導入のスムーズさ・業務影響の度合いや、事前設定の内容が容易かなどを総合的に判断する必要があります。
また、クラウド型のEDRの場合はこの点はリスクが少ないですが、エンドポイントのCPUやメモリ、ネットワークなどのリソースに過度な負担をかけないかも事前に検証したいところです。
これらの機能評価には、高度な攻撃に備えるため、第三者機関の機能評価なども参考にし、より専門的な見地から、効果的なEDRの導入を検討すべきものと考えられます。
まとめ
以上の通り、EDRは、高度なサイバー攻撃・内部不正の脅威に効果的に対応するためには必須であり、予防・保護を目的として導入されるEPPと守備範囲が異なり、攻撃があった場合に被害を最小限にコントロールするのに役立ちます。
EDRとEPPは、効果を発揮する場面が異なっているので、組み合わせてセキュリティ施策の一部として導入されるべきものと考えられます。
