これまでのエンドポイントセキュリティ製品は、ウイルス検知・防止機能が主な機能でした。しかし、脅威の変化とともにアプリケーションコントロールやアンチスパイウェア、ルートキット対策、パーソナルファイアウォールやデバイス制御など、次々と機能を追加し、総合対策製品として進化しました。つまり、「マルウェアに感染しないこと」を目的としているのです。
これに対し、EDR製品はエンドポイントでの脅威を検知し、対応を支援する製品です。エンドポイントの情報を収集し、それを元に怪しいファイルやプロセスの特定・削除などの作業を一元的に管理します。そういった働きで、感染後のインシデント対応時間の短縮というニーズに応えられるようになっているのです。
EDR製品の機能としては、主に3つを提供します。「検知」・「遮断」・「調査」です。EDRは、エンドポイントにおける各種プログラムのふるまいを監視し、インシデントの有無を判断します。また、もし疑わしい動きを検知した際にその端末の通信を遮断したり不審なプロセスの実行を止めます。さらにシステム上のふるまいを記録します。
また、トレンドマイクロ社は一般的なアンチウイルスソフトについて、「解析によって顕在化した脅威に対するもので、端末に潜在する脅威に対するものではない」とし、「あらゆる標的型サイバー攻撃が完璧に検知・ブロックできる保証はなく、解析によって不審な端末が特定できたとしても、どのような経路をたどってその端末に脅威が侵入したのか、あるいは、攻撃の手がどの範囲に及んでいるかを迅速に把握することも難しい」と述べています。その上で、EDR製品による端末の調査・解析については「そうした(一般的なアンチウイルスソフトの)対策上の隙間を埋め、インシデント対応の遅れによって被害が拡大するリスクを抑える有効なソリューションと言える」と導入の重要性を訴えています。
参考:標的型サイバー攻撃対策の次の一手、EDRとは
EDRソリューションには7つの重要な要素があると言います。EDR製品を検討している方は参考にしてみてください。
- サイバー攻撃の兆候を検知する
- 組織全体のログデータを相互に関連付ける
- ホワイトリストとブラックリストを動作分析と組み合わせる
- エンドポイントの活動を干渉せずに監視できる
- インシデントレスポンス(IR)とフォレンジック調査に役立つ
- インシデントへの効果的な対処と修復が可能
- アンチウイルスと連携する
参考:EDRとは何か?〜EDRの基礎知識
EDRを利用したエンドポイント解析では、大きく次の2点が可視化されます。
1点目が、ウイルスに感染し、不正アクセスの痕跡がある端末の可視化です。ファイルやハッシュ値などの情報から、ウイルスが社内のどの端末に潜んでいるか、またC&CサーバーのURLなどからどの端末がC&Cサーバーにアクセスしたかわかるようになっています。
2点目は、侵入原因や経路、被害の可視化です。感染からどのような処理を行い、どのような情報を外部に送信したか把握できます。さらに、EDR製品の中にはウイルスと思われる処理が動いているエンドポイントに対し、管理者がリモートで処理停止を実行できる機能を持つものもあります。