[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料を無料ダウンロード

EDRとは ~仕組みや類似ソリューションとの違いなどを解説~

近年、サイバー攻撃における手口が巧妙化してきており、対策をしてもその対策を通り抜ける技術や手法が次々に生み出されています。そこで今回紹介するのが、「EDR」と呼ばれるセキュリティソリューションです。端末を攻撃から防御する役割をもつEDRの仕組みや類似ソリューションとの違いなどを解説していきます。

サイバー攻撃の流れ

まずは、マルウェアを使用したサイバー攻撃の一般的な流れを把握することでエンドポイントの重要性が見えてきます。攻撃が実行される前に検知できれば被害を抑え、拡大を防止することができます。

出所:https://www.soumu.go.jp/main_content/000495298.pdf

EDRとは

EDR(Endpoint Detection and Response)は、「エンドポイントでの検出と対応」と直訳できます。EDRは、ネットワークに接続されたコンピュータやスマートフォン、サーバなどの挙動を監視し、脅威を検出・対処するセキュリティ対策ソフトです。標的型攻撃などの主要なサイバー攻撃に対する検知し、インシデント対応をするためのソリューションです。このEDRは2013年、IT分野を中心とした調査や助言を行う「Gartner」という企業のブログにおいてAnton Chuvakin氏が、ホスト/エンドポイント上の不審な動きなどを検出して調査するためのツールとして定義付けたことが始まりでした。

「Gartner」ブログ
https://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/

EDRが必要となった背景

EDRが必要とされるようになった背景には以下の3つがあげられます。

至急エンドポイントを封じ込める必要性がある

エンドポイントとは、インターネットや社内LANの末端に接続された端末のことです。もしセキュリティ対策をしていたのに突破されてしまった時、外部への情報漏えいや他端末への感染を防ぐため、端末をネットワークから隔離することが重要です。なぜなら、感染した端末をネットワークに繋げたままにしておくと、被害拡大の原因になり兼ねないからです。EDRの中には、侵入してきた脅威へすぐに対応するため、遠隔操作可能なものも増えています。よって緊急時でも迅速な対応が可能となります。また、端末隔離後も侵入後の挙動を把握することで再発防止策を考えることができます。

テレワーク普及によるエンドポイントのリスク増加

テレワークが急激に普及された今、エンドポイントのセキュリティ対策は欠かせないものとなっています。EDRが注目されるようになった理由として、企業のテレワーク利用率が関係しています。働き方改革が進み、テレワークを実施するということは、社外に持ち出した端末による情報漏えいや、社内に持ち込んだ端末からマルウェアが拡散してしまうリスクが出てきます。そこで、EDRの機能を利用することで、遠隔からテレワーク端末がサイバー攻撃を受けていないか、確認をすることができます。
テレワークを推奨している企業はまだまだ増えています。アフターコロナを加味したセキュリティ対策をしている企業はどのくらいでしょうか?テレワークを今後も実施するにはエンドポイントのセキュリティ対策を必須であるため、EDRの導入は有効になるでしょう。

巧妙化するサイバー攻撃への対策

日頃から、機密情報や顧客・社員の個人情報をサイバー攻撃から守るため、セキュリティ製品を導入されていると思います。そのためセキュリティにより情報は守られているはずですが、サイバー攻撃による個人情報の漏えいといったニュースは後を絶ちません。なぜ、セキュリティ対策をしているのにサイバー攻撃による被害はなくならないのでしょうか。それは、セキュリティ製品は日々進化していますが同時に、サイバー攻撃も巧妙化し続けているからです。そのため、これまで実施してきたセキュリティ対策に加え、社内リソースへ侵入されることも想定した対策も必要となります。
EDRは、【侵入されることを前提に、いかに早く脅威を検出して対応】することが役割です。
従来のセキュリティ製品と比べると、応急処置を施し、原因調査のサポートをしてくれるソリューションとなっています。

関連記事載せる(SECULABO記事):https://www.amiya.co.jp/column/20210211.html

EDRの仕組み

EDRの基本的な機能は、対象のクライアントのログを常に収集することで監視体制を構築することです。そして、EDRは不審な動きを検知・隔離・調査・復旧する4つのフェーズにわかれています。

出所:サイバー攻撃に対する新対策、EDRとは? | NTTテクノクロス | TrustShelter

検知

まずは侵入したマルウェアをいち早く検知する機能です。エンドポイント上のログを取得することでサーバが解析し、ウィルスなどの不審な挙動を自動で検知します。

検知のしくみについて
①端末のハッシュ値やIPアドレス、ドメイン名などを、既にマルウェアとして報告されている情報とすり合わせる
②エンドポイントの振る舞いを確認し、あらかじめ定義された不審な動きと照合することで察知する振る舞い検知
③AIを使った機械学習の検知

などがあげられます。自動検知された不審な挙動は管理者に対して、レポートやアラートとしてすばやく通知されるようになっています。これらの機能によって端末がマルウェアに感染したことを迅速に検知し、スムーズな対応を行うことが可能になります。

隔離

次に、感染した端末をLANから隔離してインターネット接続を管理者がリモートで停止したり、検知と同時に自動でプロセスを停止したりすることで外部からの侵入を遮断します。こうすることで、感染したエンドポイントのみにマルウェアを封じ込めて、感染拡大による2次・3次被害を防ぐことが可能になります。

調査

EDRでは端末のログ情報を常に収集しているので、その情報をもとにマルウェアの侵入経路や内部活動、その影響範囲を調査することができます。

復旧

感染した端末を隔離して原因調査をした結果影響範囲がわかることから、必要最小限の復旧作業でマルウェアの駆除を迅速に行うことで端末を正常に復旧させます。もしEDRがない場合、どこまでシステムに影響を及ぼしたのかわからず、すべてのPCをクリーンインストールしなければならないかもしれません。

対応できるリスク

EDRが対応できるリスクとして主に以下の4つが挙げられます。

「気が付かない」侵入

時代とともにサイバー攻撃の手口は巧妙化し、従来のアンチウィルスソフトでは検知できないような手口が生まれています。その代表例が「ファイルレスマルウェア」です。実行ファイルを使用せずにOSに元からある機能を利用した攻撃手法で、攻撃者は、主にPowerShellやWMIなどのPCに備わっている基本機能を悪用したファイルを使って、メモリ上に不正プログラムをダウンロード・展開させるので検知が非常に困難な攻撃です。このファイルレスマルウェアをEDRであれば、侵入後に検知し、迅速な対応をとることが可能になります。

侵入後の感染拡大

EDRは侵入後に検知して即座に端末の隔離を行うため、内部活動によって権限掌握やファイル奪取などの被害を抑えるだけでなく、他の端末への2次・3次被害も防ぐことが可能です。もちろん、感染しないようにするのが一番ですが、標的型攻撃のように高度な攻撃などはすべての攻撃を未然に防ぐことは難しいです。
そこで、侵入されてしまうことを想定し、それに備えた対策を講じることで、できる限り早い段階での検知と対応を行うことが可能になります。

対応時の高コスト

従来のセキュリティ対策ではインシデントが発生してしまうと内部調査や原因特定、状況報告などによって多くの手間とコストがかかります。また、セキュリティに精通した専門要員を社内に持つことは、中小企業にとっては大きな負担となります。万全なセキュリティ対策を行うためには、対応可能なものだけ社内で対応し、それ以外を外部にEDR運用の支援を依頼することでコストを最小限に抑えつつ、EDRを最大限に活用できます。

EPPとの違い

EDRと同じくエンドポイントセキュリティツールとして、EPPという製品が存在しており、広く普及しています。では、このEPPとEDRの違いはどのような点にあるのでしょうか?

EPPとは、Endpoint Protection Platform(エンドポイント保護プラットフォーム)の略でPCやサーバをマルウェア感染などから保護するエンドポイントセキュリティ製品の一種です。EPPの大きな目的は「マルウェアによる攻撃を事前に防ぐこと」にあります。一般的なアンチウィルスソフトがこれに該当し、既存のマルウェアだけでなく、シグネチャ(定義ファイル)による、マルウェアが仕込まれた実行ファイルの検知やAIの機械学習による未知のマルウェアへの対応も可能になってきました。

対応できないリスク

前述したように、EPPはエンドポイントのマルウェア感染を「事前」に防ぐことを目的としたセキュリティツールになります。一方、EDRはマルウェアなどによってエンドポイントに侵入されてしまった場合などの「事後」の被害を最小限に抑えることを目的として挙動の検知や迅速な対応を可能にするためのセキュリティツールになります。この2つのツールは同じエンドポイントを対象としていますが、目的が大きく異なる点が特徴です。よって、EDRでは、侵入前の脅威には対応ができません。サイバー攻撃においては攻撃者に侵入されないようにすることが第一になります。最近では、EPPとEDR、どちらも導入することで攻撃からの被害を最小限に抑えるケースが増えています。

製品比較選定のポイント

現在、EDR製品は様々な種類が発売されていますが、それぞれの組織や企業と相性の良い製品を選ぶことがセキュリティのレベルをさらに向上させることにつながります。
次に、EDR製品を選ぶ際に見ておくべきポイントについて紹介していきます。

目的の明確化

まずは、自社のインシデントレスポンスの状態を確認し、どうやって社内で使おうとしているかを明確にすることが大切です。EDRの製品は、EPPの製品のように導入して自動で攻撃から防御してくれるツールではないケースが多くあります。情報システム部門やITソリューションに特化した担当者が自社に合った設定をして能動的に動かしていくことが求められます。なので、導入する前にEDR製品をどんな目的で誰がどのように運用していくのかを明確にすることで、より強固なセキュリティの構築が可能になります。CSIRTやSOCが設置されている企業であれば、EDRと組み合わせることでインシデントに対して迅速かつ的確な対応をとることができるようになります。

運用の想定

不審な挙動の検知は、どのレベルから不審だと判断するかはセキュリティ担当者によって異なります。なので、PoC(実証試験)を事前に行ってから本格的に導入するという方法もあります。運用を始めて、しっかりと最適化できるような事前の想定が重要になります。

提供形態

近年普及しているITソリューションツールには「オンプレミス」と「クラウド」の二つの提供形態が存在します。

オンプレミス

従来からある提供形態で、自社内のインフラとしてサーバやソフトウェアを構築して運用することを指します。自社内で設置・運用するのでエンジニアによる自由なカスタマイズが可能で、自社内のみの閉ざされたネットワーク環境で利用することで安全性も確保できる一方で、初期費用が高額で導入まで時間がかかるだけでなく資産として計上されてしまう点や、災害などに弱いといったデメリットもあります。

クラウド

近年急速に普及し始めた提供形態で、管理サーバのソフトウェアをインストールせずともネットワーク経由で簡単に利用できるサービスのことを指します。カスタマイズ性がない分、拡張性が非常に高く、ネットワーク環境があれば場所も限定されないといったメリットもあります。さらに導入や情報共有も簡単で、初期費用を抑えることも可能になります。一方、クラウドサービスを運用している企業の都合などによってサービスが停止してしまう恐れがあり、オンプレミスに比べて自社に合わせたカスタマイズの範囲が限定されてしまうといったデメリットがあります。

他製品との相性

EDR製品を導入する場合は、すでに導入しているソフトウェアとの相性を事前に確認することが重要です。ほとんどの企業や組織がすでにアンチウィルスソフトやファイアウォールなどのEDR以外のセキュリティツールを導入していると思います。すでに取り入れている製品と導入したEDR製品がエンドポイントでぶつかってしまうことで全体のパフォーマンスが下がってしまったり、既存製品と連携ができずに管理が大変になってしまったりする可能性があります。そのため、同じ企業が提供している製品を選んだり、既存のセキュリティ製品の情報と統合的に管理できるような製品を選んだりすることが重要になります。

機能性

検知機能

製品によって検知できるサイバー攻撃の種類や範囲が異なります。

前述した検知機能
①端末のハッシュ値やIPアドレス、ドメイン名などを、既にマルウェアとして報告されている情報とすり合わせる
②エンドポイントの振る舞いを確認し、あらかじめ定義された不審な動きと照合することで察知する振る舞い検知
③AIを使った機械学習の検知

他にも未知の脅威においてどれほど検知できるかも重要です。
そのため、導入前には検知可能な攻撃範囲について確認しておきましょう

管理画面

検知した不審な挙動やログの解析結果を表示する管理画面のGUIが見やすいようなデザインになっているか、しっかりと可視化されて表示されているかなどを事前に確認しておくことで効率的な作業につながります。

監視対象と保存期間

不審な挙動を検視して解析するために必要とされる情報の範囲が広ければ広いほど、漏れなく万番無く調査することが可能になります。さらに、その情報が保存されるのは端末上なのか、管理サーバ上なのか、どのくらいの期間保存できるのかなども製品によって異なるので、しっかりと比較した上で選択しましょう。

サポート体制

導入したEDR製品にサポート機能が付与されているかどうかも重要なポイントになります。製品の中にはアナリストによる24時間監視体制により、リアルタイム通知してくれるサービスが付いた製品も存在します。自社にマッチするサポート体制を選定することが重要になります。

まとめ

前述したように、日々巧妙化・高度化するサイバー攻撃の手口に対してセキュリティの前提条件は変化していきます。現在は、侵入を防ぐためのアンチウィルスソフトやファイアウォールだけでは100%防御することは非常に困難になってきており、侵入された後の検知や対応を迅速かつ効果的に行う体制を整えなければ対処できなくなってきています。既存のセキュリティツールに加えてEDR製品を導入することで多層防御を構築することが可能になります。自社に合った製品を適切に選び、何よりEDR製品を能動的に使いこなすことがセキュリティの質を高めることにつながります。

 

参照

- https://www.atmarkit.co.jp/ait/articles/1812/18/news016.html
- https://www.trustshelter.jp/column/2019-01-22/
- https://gblogs.cisco.com/jp/2018/11/what-is-edr/
- https://products.nvc.co.jp/carbonblack/blog/points-of-edr-comparing
- https://qeee.jp/magazine/articles/5566
- https://news.mynavi.jp/kikaku/edr_eei-2/
- https://workvision.net/column/cloud/2020062501.htm
- https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/07.html
- https://www.ict-miraiz.com/column/security/4470/#area01a
- https://www.jbsvc.co.jp/useful/security/what-is-edr.html
- EDRとは?ー仕組みやメリット、エンドポイントセキュリティ対策について解説ー – ICT未来図 (ict-miraiz.com)
- ソリューション理解から製品比較のポイントまで-EDRまるわかりガイド (canon-its.jp)

宮田 昌紀(みやた まさのり)
株式会社網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

ホワイトペーパー

[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい