AppGuard Blog

巧妙化するサイバー攻撃への対策「EDR」とは?

セキュリティ

巧妙化するサイバー攻撃への対策「EDR」とは?
サイバー攻撃が巧妙化・高度化するにつれ、従来のセキュリティ対策だけでは被害を食い止めることが難しくなってきています。このような状況で、注目されているのが「EDR」です。EDRとはどのようなセキュリティ対策ツールなのか、その特徴や強み、また注意点などについても解説していきます。

防げない攻撃への対策EDR(Endpoint Detection and Response)とは

EDRとは、PC、サーバー、モバイルデバイス、クラウドサービス上の仮想マシンなどネットワークの末端(もしくはホスト)における不審な挙動や痕跡を監視し、サイバー攻撃を受けたことを検知して迅速に対応するセキュリティ対策ソフトウェアの総称です。

エンドポイントはもともとサイバー攻撃を受けた際に、クラッキングやその徴候となるような、正常な動作とは異なる活動が行われやすい場所です。EDRでは基本的にエンドポイント上のアプリケーションの動作に関する情報を収集し、攻撃や攻撃と疑わしい動きを検出するとその端末の機能を停止して被害を最小限に食い止めます。

EDRの必要性

EDRが注目されるようになった背景には、近年、次々と新しいマルウェアが登場し、またサイバー攻撃の方法が巧妙化してきたことがあります。OSなどの脆弱性を突く攻撃はスピード感を増し、修正やアップデートが間に合わないような未知の攻撃が増えています。また簡単にマルウェアの亜種を作成できるツールの存在や、ファイルレスマルウェアなどのステルス性の高い攻撃によって、従来のセキュリティの穴をすり抜けてくる脅威の存在も無視できないものとなっています。

それゆえ、アンチウイルスソフトなどを使ってマルウェアに感染しないことのみに注力するのではなく、攻撃を受けた場合でも被害を抑えるEDRのような対策も求められるようになりました。従来の防御方法とEDRのどちらか一方があればよいというわけではなく、どちらも同時に活用することで、セキュリティ対策をより強固なものに近づけることができます。

EDRと従来のセキュリティ対策との違い

従来からあるアンチウイルスソフトはマルウェアに感染しないことに主眼をおいたセキュリティソフトです。その多くはマルウェアに関する情報を記録した定義ファイルを用意し、既知の脅威を検出し駆除することでマルウェアの活動を封じ込めます。また、ファイアウォールなども基本的に入り口で不正な侵入検知し阻止するための防御方法です。

しかし、EDRはエンドポイントがサイバー攻撃による被害を受けることを前提とした上で、迅速な対応を実現することを目的としています。つまり、事前防御ではなく事後対応に特化している点が従来のセキュリティ対策と異なります。

このようにEDRには従来のセキュリティ対策の弱点を補う目的を持っていますが、一方で運用が難しくそれゆえにコストが膨らむという問題も抱えています。EDRは製品を導入すればそれで対策が終わりになるわけではなく、可視化された脅威やいち早く判明したインシデントに対して、人が判断し対応しなければならない場面も出てきます。

また、誤検知が発生する可能性もゼロではありません。EDRの導入に伴ってセキュリティ人材を新たに置かなればならなくなるという事態が発生することもあるでしょう。あるいはEDRの運用をアウトソーシングすることで追加コストが必要になるかもしれません。

EDRの機能

最後に、EDRが持つ主な機能を見てみましょう。以下は製品によって異なりますが、EDRが特徴的に備えていることの多い機能です。

検索・検知機能

マルウェアに関連したファイルやハッシュ値の検索・検知を行い、マルウェアが存在する端末を特定します。

ログやプロセスの監視

本来のOSやアプリケーション、端末としての動作とは異なる不審な動きがないかを監視し、疑わしいものをリストアップして報告します。ネットワークの監視を行うものもあります。

プロセスの停止

不審なファイルや挙動を発見したときに自動的にプロセスを停止します。あるいはセキュリティ担当者がリモート操作で停止させられる機能を備えている場合もあります。

端末の隔離

マルウェア感染などが発覚した端末自体をネットワークから切り離し、隔離します。

アプリケーションのホワイトリスト作成

安全に運用できるアプリケーションを分析してリストアップします。

インシデントレスポンス

インシデントが発生したときにセキュリティ担当者に情報を提供し、被害を広げないための対応を支援します。

サイバー攻撃を完全に防ぐことは困難です。EDRは事後対策として、マルウェア感染などのサイバー攻撃による被害拡大に有効です。ただし、EDRは運用が難しい面があり、攻撃を受けてしまったあとの対応であることにも留意しておきましょう。事前防御をないがしろにせず、それ以外のセキュリティ対策も加えて、自社にマッチした多層的なセキュリティ環境を築くことが重要です。



ページトップに戻る