ランサム・マルウェア被害へ備える
EDR(Endpoint Detection and Response)はPC端末と言ったエンドポイントにおけるサイバー攻撃などの脅威から悪影響を最小限にとどめ、その被害を抑止させるセキュリティ対策製品の一つ。これまで従業員が数千名にのぼる大手企業、標的になりやすい政府自治体、医療・金融機関、インフラ関連企業に向けてその多くが導入されてきました。運用にはリソースや経験・ノウハウ・セキュリティのための体制構築が欠かせません。
中小企業でも活用が始まっています。背景にはランサム・マルウェアなどサイバー攻撃の急増があり、企業規模や業種にかかわらず被害を受ける事例が頻発、レベルの高い対策が求められるようになりました。果たしてEDR製品をどのように選定して導入運用するのが妥当なのでしょうか?
現状分析
以前は中小企業等でのセキュリティ対策の多くは、ファイアウォールを用いたネットワーク境界防御とPC等の端末側にインストールしたアンチウイルス製品により占められていました。ファイアウォールを越えて侵入する脅威には、IPS/IDS(侵入検知システム)やUTM(統合脅威保護)を用いて対応するケースが多かったのも特徴的です。
しかし、上記対策だけでは脅威に対抗できない事態が生じ始めました。攻撃の高度化、従来製品やUTMではランサム・マルウェアなどのサイバー攻撃を検知できなくなってきたのです。従来型AV(Anti Virus)製品の多くはパターンマッチング手法を取り入れていました。これまでは既知の不正プログラムの特徴を登録したマッチングでマルウェアかどうかを照合していましたが、新種のマルウェアが次々と登場してきたことで照合が追い付かないのです。
また、侵入後に電光石火でデータ暗号化を行うランサムウェアではIPSやUTMが検知時にはもはや手遅れの事態を招き、社内ネットワークへの侵入を前提に素早く検知して脅威に対処するにはEDR製品が必要になった経緯があります。従来とは検知のためのコンセプトが異なり、パターンマッチングではなく、攻撃時の不審な挙動・行動を追跡して痕跡を見つけて事後対処を実行。事前防御は困難という前提のもと事後対処を素早く実施して被害を最小限にとどめることが目的です。
選定タイミング
EDRは検知と対処機能を標準装備、業務環境に応じて運用できます。ただし導入運用には相応の予算が必要であり機能させるには運用負担やコストも大きいのです。そこでアラートやログを分析、脅威を捕捉して対処できるEDR運用担当者を置き、SOCを活用して専門家と協業しながら対処する体制が望ましいと言えます。
しかし導入しても運用できず「アラート疲れ」に陥り、コスト増ではお話になりません。そのため費用・管理面で導入しやすい製品が現実的な選択肢。たとえばベンダーからEDR製品を導入する費用は、専用品の直接導入と比べ相対的に低く、使い勝手も既存製品の延長線上にあり習熟しやすいのが特徴。異常の検知時、アラートは既存製品と同じ画面上で見て対処でき、脅威分析も自動レポート作成機能などを標準装備、作業者が負担を感じにくいのです。
テレワークやデバイスの導入、既存環境の見直しを進める企業はそうした取り組みとともに予算を確保、EDR導入に備えるのが効率的。既存ファイアウォールや従来型セキュリティ対策製品、UTMと言ったテレワーク向けアプリや端末を管理する製品の導入に合わせEDRも取り入れれば一石二鳥の効果が高いと言えます。
選定要件
選定に適切な構成要件は「ログの量と質・インシデントに対するレスポンスの速さ・検知手法の多様性」と言えます。
まずインシデント後の脅威を追跡するためのログの量と質(種類)が確保されているのか。インシデント発生時にログの有無が正常復旧への分かれ目。客先に出向いてインシデント対応時、EDRのログが不足していれば現状分析はできません。EDRは攻撃を過去にさかのぼり分析。ランサムウェアでデータが暗号化された場合など暗号化時点のログが残っていれば、脅威の特定がしやすいのです。「いつまで」「どの程度の量」ログ取得するかの判断は、どのデータを守るべきかの優先順位を明確にさせることにもつながります。
次にインシデントへのレスポンス速度、脅威を検知して特定後に脅威への対処のため端末を調査してネットワーク遮断やサーバ停止など緊急性の高い判断をする基礎となります。脅威を検知して対処する際、どの端末で脅威が発生したか特定、その端末をネットワークから除外、脅威が外部サーバと通信時にネットワークを遮断して通信を止めることが必要です。そこで重要になるのはネットワークから遮断させる機能。検知にとどまり、ネットワーク遮断を行わないとすればその製品はEDRの名に値しません。
また検知手法は攻撃の際フォーカス出来ているか。EDRが従来型パターンファイルマッチングに頼らず、攻撃を補足できているか。感染拡大や、スクリプトを悪用したファイルレス攻撃などの兆候を検知できる機能が備えられているか。従来型にとどまらない検知手法を多様に用いられた製品であることは導入の決め手となりえるのです。
考慮すべき点
導入後の運用面や効果検証も大きな課題。運用時における「コスト」や「メンテナンス性」はやはり重視すべき点。限られた予算やリソースでの運用を考慮しなければならない状況においてEDR製品は従来品と比べカバー範囲が広く、「誤・過」検知も増える傾向にあります。少人数でも運用しやすいのが理想的ですが、なかなか難しいのが現実です。
「過・誤」検知が増加すれば機能チューニングは必須。機能がない製品は選ばない方がベターです。細かくチューニングできる機能を有し、管理レポートの出力機能やサポート体制が充実していることも重視すべき点ですが、最低限必要なEDR機能だけを低価格で提供しているライセンス製品を利用した方がよいケースもあります。
実際問題として知見やノウハウに乏しい企業に自社運用は難しく、インシデント発生時に運用委託先が誠実に対応してくれるかの見極めも重要。実際の危機発生時に機能しない事態も想定して緊急対応できるパートナーを確保出来ているかも考慮すべきでしょう。まずは保有している機密情報を優先ランク付けして適切に保管・管理出来ているのか自己診断をおすすめします、その上でセキュリティ対策負担の低減をもたらす一環としてEDRを選定・導入に向けた検討が望ましいのではないでしょうか。