第8回:新世代対策ツールが台頭 ブックマークが追加されました
セキュリティー対策において「侵入を前提とした対応が必要」と言われるようになっておよそ10年がたつ。その間、さまざまな製品が登場したが、近年存在感を増しているのがパソコンやサーバーなど端末で不審な挙動を検出して対処する新世代の対策ツール「EDR(エンドポイントでの検知と対応)」である。
従来のウイルス対策ソフトが過去のマルウエア(悪意あるプログラム)や攻撃手法とのパターンマッチング(照合)によって侵入時点で端末を保護するのに対し、EDRはプログラムの実行、設定変更、外部との通信などを監視し、それをクラウドにある情報基盤で分析して侵入後の異常を検知する。さらに遠隔からの端末の遮断や疑わしいプロセスの停止など、脅威検出後の被害の最小化に重きを置いた対応が可能となっている。
EDRのニーズの高まりにはいくつか理由がある。第1は、攻撃の巧妙化・多様化だ。システムの脆弱性を突く攻撃だけでなく、端末で動作する正規のアプリケーションを悪用する手法も増え、利用者が意図していない動作を検出することが求められている。
第2は、暗号化通信の比率が高まり、通信経路上のセキュリティー機器で検出できる攻撃が相対的に減っていることである。
そして第3は、新型コロナ禍により広がったテレワークの影響だ。これまでは企業ネットワークの内と外を分ける境界型の対策が中心であったが、利用者やデータが分散する環境では末端のエンドポイントにおける対策強化が急務となっている。
EDRの多くがサブスクリプション方式であることにも注目したい。自社のIT環境の変化に合わせてより柔軟なコスト管理ができる。
運用面での課題は少なくない。EDRのアラートの調査や検知精度を高めるチューニングには一定の手間と専門知識が必要だ。また初動での遮断はリアルタイム監視してこそ効果が発揮される。
EDR製品を使いこなせない企業に代わって監視・分析する「マネージドEDR」のサービスも増えており、遠隔遮断まで踏み込んで対応する場合も多い。IT部門が兼任で監視している組織や24時間対応が難しい組織では、こうしたサービスを利用して監視の最適化を図り、事前に対応策の内容を取り決めることによって、より機動的なインシデント(事故につながる恐れのある事態)への対処が可能となるであろう。
本稿は2021年1月5日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(9)新世代対策ツールが台頭」を一部改訂したものです。
>>第1回:サイバー対策は商品力や企業力に直結
>>第2回:外部環境の変化を読み解く
>>第3回:社内守るだけでは守れず
>>第4回:各国政府、厳しい調達基準
>>第5回:安全対策、義務化の製品も
>>第6回:個人情報規制、世界で強化(戦略フォーサイト)
>>第7回:クラウド、業者任せは不可(戦略フォーサイト)
デロイト トーマツ サイバー合同会社所属。外資系IT企業でサイバー攻撃を監視するSOC(セキュリティー・オペレーション・センター)の責任者を経て2018年デロイト トーマツ リスクサービス株式会社に入社。現在は、セキュリティ監視サービスおよび脅威インテリジェンス分析サービスを24時間体制で提供するサイバーインテリジェンスセンター(CIC: Cyber Intelligence Center)の運営に加え、顧客企業のSOC立ち上げやセキュリティ監視体制高度化の支援に従事している。 ■保有資格 情報処理安全確保支援士、ネットワークスペシャリスト(NW)