EDRとは

2015年ごろから、日本のエンドポイントセキュリティ市場ではEDR(Endpoint Detection and Response)製品が注目されています。従来、マルウェアの検知は、マルウェア検体をもとにシグニチャを形成して防御する機能を中心に発展してきましたが、昨今のマルウェアは標的型攻撃や多種多様な亜種を簡単に作成できるツールなどが存在するため、検体を入手することが難しくなっています。

FacebookTwitterLinkedIn
Hacker

また、2016年に起きたサイバー攻撃のうち、マルウェア等が47%を占めますが、53%はPowershellやOffice Micro等の正規ツールを悪用して実施されており、攻撃者のスキルの向上と相まって、既存のセキュリティツールでは検知できなくなると思われます。

こういった事情から、「マルウェアに感染することが前提の対策」が必要になっているのです。

EDR製品の特徴

これまでのエンドポイントセキュリティ製品は、ウイルス検知・防止機能が主な機能でした。しかし、脅威の変化とともにアプリケーションコントロールやアンチスパイウェア、ルートキット対策、パーソナルファイアウォールやデバイス制御など、次々と機能を追加し、総合対策製品として進化しました。つまり、「マルウェアに感染しないこと」を目的としているのです。

これに対し、EDR製品はエンドポイントでの脅威を検知し、対応を支援する製品です。エンドポイントの情報を収集し、それを元に怪しいファイルやプロセスの特定・削除などの作業を一元的に管理します。そういった働きで、感染後のインシデント対応時間の短縮というニーズに応えられるようになっているのです。

EDR製品の機能としては、主に3つを提供します。「検知」・「遮断」・「調査」です。EDRは、エンドポイントにおける各種プログラムのふるまいを監視し、インシデントの有無を判断します。また、もし疑わしい動きを検知した際にその端末の通信を遮断したり不審なプロセスの実行を止めます。さらにシステム上のふるまいを記録します。

また、トレンドマイクロ社は一般的なアンチウイルスソフトについて、「解析によって顕在化した脅威に対するもので、端末に潜在する脅威に対するものではない」とし、「あらゆる標的型サイバー攻撃が完璧に検知・ブロックできる保証はなく、解析によって不審な端末が特定できたとしても、どのような経路をたどってその端末に脅威が侵入したのか、あるいは、攻撃の手がどの範囲に及んでいるかを迅速に把握することも難しい」と述べています。その上で、EDR製品による端末の調査・解析については「そうした(一般的なアンチウイルスソフトの)対策上の隙間を埋め、インシデント対応の遅れによって被害が拡大するリスクを抑える有効なソリューションと言える」と導入の重要性を訴えています。

参考:標的型サイバー攻撃対策の次の一手、EDRとは

EDRソリューションには7つの重要な要素があると言います。EDR製品を検討している方は参考にしてみてください。

  1. サイバー攻撃の兆候を検知する
  2. 組織全体のログデータを相互に関連付ける
  3. ホワイトリストとブラックリストを動作分析と組み合わせる
  4. エンドポイントの活動を干渉せずに監視できる
  5. インシデントレスポンス(IR)とフォレンジック調査に役立つ
  6. インシデントへの効果的な対処と修復が可能
  7. アンチウイルスと連携する

参考:EDRとは何か?〜EDRの基礎知識

EDRを利用したエンドポイント解析では、大きく次の2点が可視化されます。

1点目が、ウイルスに感染し、不正アクセスの痕跡がある端末の可視化です。ファイルやハッシュ値などの情報から、ウイルスが社内のどの端末に潜んでいるか、またC&CサーバーのURLなどからどの端末がC&Cサーバーにアクセスしたかわかるようになっています。

2点目は、侵入原因や経路、被害の可視化です。感染からどのような処理を行い、どのような情報を外部に送信したか把握できます。さらに、EDR製品の中にはウイルスと思われる処理が動いているエンドポイントに対し、管理者がリモートで処理停止を実行できる機能を持つものもあります。

Hacker
Hacker

トラストウェーブ社によるマネージドEDRサービス

シングテルの子会社であるトラストウェーブ社では、「マネージドEDR (MDRe: Managed Detection & Response for End Point) サービス」を提供しています。これは、セキュリティ脅威の早期検知と分析・対応で、企業のインシデントレスポンスを支援する標的型攻撃サービスです。このサービスの特長については前回のブログで書きましたが、ここでは、そういったサービスが提供されるに当たっての背景を紹介します。

サイバーセキュリティの分野で標的型攻撃の高度化と巧妙化が進み、攻撃者からの侵入を難しくなってきているということはすでに書きました。企業の情報システム部門では、脅威の過検知というものが多々あります。それらにより業務影響の調査やアラート対応が増大する一方で、日々増え続ける脅威に対しては検知の閾値を安易には下げることができず、セキュリティ対策の運用負荷が問題となっています。また、インシデント発生の疑いがある際も、その影響範囲を特定するためのPCログ分析でも十分なログが保存されておらず、調査が進まないという課題もあります。

こういった理由で、企業内部で完結させるのではなく、トラストウェーブ社のような専門集団に任せる動きが出てきているのです。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。