Posted: 18 Mar. 2021 3 min. read

第8回:新世代対策ツールが台頭

シリーズ:DX時代のサイバー対策

セキュリティー対策において「侵入を前提とした対応が必要」と言われるようになっておよそ10年がたつ。その間、さまざまな製品が登場したが、近年存在感を増しているのがパソコンやサーバーなど端末で不審な挙動を検出して対処する新世代の対策ツール「EDR(エンドポイントでの検知と対応)」である。

 

従来のウイルス対策ソフトが過去のマルウエア(悪意あるプログラム)や攻撃手法とのパターンマッチング(照合)によって侵入時点で端末を保護するのに対し、EDRはプログラムの実行、設定変更、外部との通信などを監視し、それをクラウドにある情報基盤で分析して侵入後の異常を検知する。さらに遠隔からの端末の遮断や疑わしいプロセスの停止など、脅威検出後の被害の最小化に重きを置いた対応が可能となっている。

 

EDRのニーズの高まりにはいくつか理由がある。第1は、攻撃の巧妙化・多様化だ。システムの脆弱性を突く攻撃だけでなく、端末で動作する正規のアプリケーションを悪用する手法も増え、利用者が意図していない動作を検出することが求められている。

 

第2は、暗号化通信の比率が高まり、通信経路上のセキュリティー機器で検出できる攻撃が相対的に減っていることである。

 

そして第3は、新型コロナ禍により広がったテレワークの影響だ。これまでは企業ネットワークの内と外を分ける境界型の対策が中心であったが、利用者やデータが分散する環境では末端のエンドポイントにおける対策強化が急務となっている。

 

EDRの多くがサブスクリプション方式であることにも注目したい。自社のIT環境の変化に合わせてより柔軟なコスト管理ができる。

 

運用面での課題は少なくない。EDRのアラートの調査や検知精度を高めるチューニングには一定の手間と専門知識が必要だ。また初動での遮断はリアルタイム監視してこそ効果が発揮される。

 

EDR製品を使いこなせない企業に代わって監視・分析する「マネージドEDR」のサービスも増えており、遠隔遮断まで踏み込んで対応する場合も多い。IT部門が兼任で監視している組織や24時間対応が難しい組織では、こうしたサービスを利用して監視の最適化を図り、事前に対応策の内容を取り決めることによって、より機動的なインシデント(事故につながる恐れのある事態)への対処が可能となるであろう。

※クリックかタップで拡大画像をご覧いただけます

 

本稿は2021年1月5日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(9)新世代対策ツールが台頭」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

鳥谷部 彰則/Akinori Toriyabe

鳥谷部 彰則/Akinori Toriyabe

デロイト トーマツ グループ シニアマネジャー

デロイト トーマツ サイバー合同会社所属。外資系IT企業でサイバー攻撃を監視するSOC(セキュリティー・オペレーション・センター)の責任者を経て現職。現在は監視サービスの運営に加え、顧客のSOC立ち上げや監視高度化の支援に従事。