ノートパソコン、タブレット、スマートフォンなど個々のデバイスなどをエンドポイントと呼び、それらがネットワークにアクセスする際のセキュリティがエンドポイントセキュリティです。
近年、サイバー攻撃者側の組織化やマルウェアなどの進化により、従来のセキュリティ対策であった侵入を防ぐことに注力した対策だけでは防ぎきれないことが多くなりました。
そこで注目されているのが発生した攻撃をいち早く検知し、分析・ブロック・封じ込めを迅速に行うエンドポイントセキュリティの一つEDRです。
今回はこのEDRについて以下の内容を解説します。
企業の方でこれからサイバーセキュリティ対策をご検討中の方はぜひこの記事を読んでEDRについて理解を深めていただくと幸いです。
EDRについてお話する前に知っておいていただきたいのが、なぜEDRがそれほど求められるようになったのかという背景です。
それはゲートウェイセキュリティに関連します。ゲートウェイセキュリティとはネットワークを社内の境界にて通信などを保護するセキュリティ対策のことです。
社内ネットワークとインターネットの境界(ゲートウェイ)で監視し、マルウェアや脆弱性を突く様々な攻撃を検出、組織内へのマルウェアの侵入や、不正なアクセスなどを防ぐことを目的とした対策です。
しかし、近年はDX(デジタルトランスフォーメーション)や働き方改革の推進によりスマホやタブレット、PCなどを使用する機会が増加し、またクラウドサービスがビジネスに組み込まれることも多くなったことにより、社外からデータへのアクセスをする機会が増えました。
これによりエンドポイントがゲートウェイを介せずに直接社内のデータにアクスセスする機会が増えており、ゲートウェイセキュリティだけでは不十分だと考えられています。
ではどうすれば良いのか、それが本題であるエンドポイントセキュリティについてを解説します。
EDRとは(Endpoint Detection and Response)の略で、検知(Detection)とResponse(調査)を主な目的として作られたセキュリティソリューション・ツールです。
万が一マルウェア感染などセキュリティインシデント(セキュリティ上の脅威となる事象)が起きた場合、速やかな検知、調査、そして管理者にアラートで知らせることにより、それ以上の拡大を防ぐことができる可能性を高めます。
EDRの主要な機能は以下の3つが主となります。
| 脅威検知と分析 | エンドポイント上の異常な挙動や不審な活動をリアルタイムで検知し、セキュリティ装置をすり抜けた攻撃を分析します。 |
|---|---|
| インシデント対応支援 | セキュリティインシデントが発生した場合、その詳細な情報を収集し、セキュリティ管理者に迅速な通知を行います。 |
| ログ保存と監視 | エンドポイント上の活動やイベントログを詳細に記録し、常時監視を行います。 |
このようにEDRの検知と分析、インシデント対応支援により速やかにインシデントが起きた場合に対応できるようになり、支援ログ保存と常時監視により経営層にとって必要な説明責任を果たすための情報を得ることが可能になるのです。
EDRについて知っていただいたところで、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)についても解説します。
EPPはエンドポイント上でファイルをスキャンし、マルウェアを検知。攻撃を阻止し隔離を行います。これにより脅威の侵入や攻撃を防ぐことを期待できるので、セキュリティインシデントの予防がメイン機能と言えるでしょう。
また侵入検知システム(IDS)や侵入防止システム(IPS)を使用しネットワーク上の異常なアクティビティを検知するなどします。
次世代型アンチウイルス、NGAV(Next Generation Anti-Virus)もEPPの一種といえるでしょう。
| アンチウイルス機能 | 既知のマルウェアからエンドポイントを守ります。定義済みのウイルス定義データベースを使って、悪意のあるファイルを検出し削除または隔離します。 |
|---|---|
| 不正アクセス防止 | ユーザーの行動を監視し、不正なアクティビティを検知することでセキュリティを強化します。 |
エンドポイントセキュリティにおけるEDRとEPPの違いは「EPP=事前対策」「EDR=事後対策」であるかの違いです。
EPPは「防御型」で既知のマルウェアを検出できます。
マルウェアは日々進化しているので未知のものも生み出されますが、それらはEPPの一種であるNGAVにより対応可能な場合もあります。
EPPを使用することで様々な脅威を事前に検出します。
ただし、脅威の侵入を完全に防ぐことは難しく侵入、感染を許す場合も起こりえます。
そこで必要となるのが「検知型」のEDRなのです。
検知型であるEDRは、感染や攻撃が発生した後でも被害を最小限に抑えることを目的としています。
EDRはデバイスを常時監視。異常や不正アクセスが検知された場合にはセキュリティ管理者に通知し、速やかな復旧を支援します。
EPPはマルウェア感染の予防に焦点を当てる一方、EDRは感染後の対応に重点を置いています。
EPPが感染を完璧に防げればEDRは不要ですが、新種のマルウェアが絶えず登場する中、完璧な防御は難しいという現実があります。
企業にとっては、EPPとEDRの併用が望ましいとされています。
EPPによってマルウェア感染を未然に防ぎ、万が一感染が検知された場合にはEDRによって迅速に対処することで、マルウェア攻撃の機会を減らし、被害リスクを極小化できます。
高度化するサイバー攻撃に対処するには、自社環境やリスクに応じたエンドポイントセキュリティを適切に導入・運用することが重要となります。
自社に最適なエンドポイントセキュリティを導入する際は、以下の点も考慮するようにしましょう。
先述した通り、アンチウイルス機能を持つEPPだけでマルウェア感染を始めとした、サイバー攻撃を完全に防止することはできないため、EDRも組み合わせて導入するべきでしょう。
エンドポイントセキュリティを導入・運用する際には、企業のセキュリティポリシーとの整合性を図ることが重要です。
セキュリティポリシーとは、情報セキュリティに対する企業理念に基づき、セキュリティの目的や対象、運用ルールなどを定めたものです。
また、インシデント発生時に管理者への迅速な連絡を義務づけている場合には、EDRの通知機能を活用し、検知から対応までのプロセスを確立しておくようにしましょう。
エンドポイントセキュリティ製品やサービスの導入には、初期費用とランニングコストがかかります。
また、エンドポイントセキュリティを有効に機能させるためには、ソフトウェアの定期的な更新・アップデートのための運用体制の整備も必要となります。
予算と運用体制を十分に確保した上で、エンドポイントセキュリティを導入・運用するようにしましょう。
EPPとEDRには、それぞれ異なる特徴やメリットがあります。
自社のセキュリティポリシーや予算、運用体制に合わせて、適切なエンドポイントセキュリティを確立することが大切です。
また、継続的な運用が不可欠であるため、自社で運用できる体制が整っているかどうか検討しておくことも必要となります。
とはいえ、現状のエンドポイントセキュリティが十分か、判断がつかない企業も多いかもしれません。
エンドポイントセキュリティの導入や運用に困りごとがありましたらNECネッツエスアイにご相談下さい。
NECネッツエスアイはセキュリティ運用サービスであるSOC(Security Operation Center)の提供実績を20年以上誇る、実績あるサイバーセキュリティ/ネットワークのセキュリティベンダーです。
NECネッツエスアイでは、パソコンなどのエンドポイントデバイスはもちろん、サーバー機器やWebサイトまで、徹底的に診断し、脆弱性や対策方法をトータルにアドバイス可能です。
Sakanishi Kazuma
