SOMPO CYBER SECURITY
本記事では、企業・組織向けサイバーセキュリティ対策の1つであるEDR(Endpoint Detection and Response)の概要や重要性、選定ポイントや運用上の課題について紹介します。
また様々な観点からEDR導入が困難な場合の代替策として当社の次世代アンチウイルス・パッケージを提案いたします。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
EDRの導入や運用でお悩みの方へ
本項では、まずEDRとは何かを簡単に紹介します。
EDR(Endpoint Detection and Response)は、エンドポイントをモニタリングし、データ分析や脅威インテリジェンスを活用することでマルウェアや悪意ある活動を検知し、脅威やインシデントに対応するためのツールです。
現在は、アンチウイルスに続く、組織・企業向けの代表的なセキュリティツールとして導入が進められ、様々なベンダーが製品を展開しており、市場規模も拡大しています。
EDRが保護するエンドポイント(端末とも呼ばれます)は主にPCやサーバーですが、モバイルデバイスやタブレット、IoT、OTに対応する製品も提供されています。
EDRは、アンチウイルスやファイアウォール等従来のセキュリティツールだけでは対応できない攻撃や脅威に対処するために開発されました。
EDRの最大の特徴は、組織に侵入・潜伏したマルウェアやランサムウェア等の脅威を検知し、これらに対応する機能にあります。
この点が、マルウェア侵入の予防を目的とするアンチウイルスとは異なる点といえます。
製品によって機能や特性は異なりますが、他には概ね次のような特徴を備えています。
EDRはネットワーク内のエンドポイントにエージェントやエージェント・センサーと呼ばれる小規模プログラムを配置し、対象エンドポイントの挙動を監視・記録し、解析サーバーに送信します。
各エンドポイントから集められたログと、EDRが利用する脅威インテリジェンスをもとに、異常や不審な活動・攻撃の兆候を検知します。
EDRは組織の保有するエンドポイントを常時(リアルタイムあるいはニア・リアルタイムで)モニタリングすることで、ネットワーク全体のセキュリティ態勢を可視化します。
集約されたデータをダッシュボードで確認するとともに、イベントやアラートに応じた過去ログの調査やプロセス構造の確認、事象の検索等を行うことで、攻撃や侵入の有無、感染状況を調査することが可能です。
従来は手動で行っていたセキュリティイベントログやユーザー行動ログの取得・照合等をプログラムによって効率化します。
また、多くのEDR製品は機械学習を利用し、不審な兆候や不正の兆候を自律的に検知するよう設計されています。
EDRは侵害されたエンドポイントやファイルを特定し、検疫やネットワーク隔離を行う機能を備えています。こうした初動対応は、あらかじめルールを定めて自動化することもできます。
また集積されたログを活用したインシデントの調査や、攻撃活動の整理と文書化にも利用されます。
一般的にEDRは他のセキュリティ製品と併せた多層防御の方式により運用されます(セキュリティツールとしてただEDRのみを利用する例は非常に少ないと思われます)。
この章では、EDRの仕組みについて若干詳しく紹介します。
EDRは次の流れに沿ってエンドポイントを保護します。
EDRは以下のコンポーネントから構成されます。
管理対象のエンドポイントにインストールされたエージェントが、不審な挙動やログに関するデータ(テレメトリーと呼ばれることもあります)を蓄積し、一定間隔で解析サーバーに送信します。
IoC・IoA | リモートログイン | ファイアウォールの操作 | データの転送 |
システムプロセス | ファイルの操作 | ネットワーク通信 | USBメモリ等の利用 |
ファイルのダウンロード | 管理用ツールの利用 | ユーザーのアクティビティ | マルウェア・シグネチャ |
表に例示したような挙動をモニタリングするにあたり、EDRエージェントはカーネルモード・ドライバを用いたプロセス生成監視や、Windows ETWの利用、APIコールの監視、フッキングといった複数の監視メカニズムを採用しています。
膨大なログに基づくビッグデータ解析や、機械学習の利用、データに基づく振る舞い検知によって、解析サーバーは脅威や脅威の兆候を特定します。
通常、EDRの運用はセキュリティ監視・対応部署であるSOC(Security Operation Center)が担当します。EDRは運用者が脅威を分析し対処するためのダッシュボードを備えており、必要に応じてカスタマイズすることが可能です。
EDRが発信したアラートがどのような性質であるのかをトリアージし、必要に応じて調査や対応を行います。
あるエンドポイントが明白に侵害されていた場合、被害を封じ込めるために何らかの処置が必要です。
EDRは運用者がリモートで対処できるよう複数の対応オプションを備えており、ファイルの検疫やプロセスの終了、エンドポイントのネットワークからの隔離、ユーザーの強制ログオフ等が可能です。
前項で紹介したように、迅速なインシデント・レスポンスを実現するため、このような対応はルールに基づいた自動化が可能です。
エンドポイントから攻撃の影響を除去するために、引き続きログの調査を行い、侵害の疑われるファイルや悪性プログラム・プロセス等の除去といった復旧活動を行います。
エンドポイント・セキュリティ製品としては、EPP(いわゆるアンチウイルス)がある他、EDRに類似の概念にMDR、NDR、XDR等があります。
ここでは簡単にその違いに触れたいと思います。
EPP(Endpoint Protection Platform)は、マルウェア防護を中心としたアンチウイルスソフトウェアであり、さらにデータ保護等の機能も備えたものです。
EDRとEPPの違いを、以下の図でわかりやすく説明します。
MDR、NDR、XDRについては、以下の表をご覧ください。
MDR (Managed Detection and Response) |
NDR (Network Detection and Response) |
XDR (EXtended Detection and Response) |
|
|
|
EDRは現在多くの組織・企業において、大規模ネットワーク向けのセキュリティ対策として導入されています。
なぜ、アンチウイルス製品とファイアウォールだけでは組織のIT資産を守れなくなったのでしょうか。
サイバー攻撃の手法は日々変化・多様化・巧妙化しています。インターネット黎明期には、代表的なマルウェアを特定するシグネチャに基づいたアンチウイルスを導入していれば事足りる時代もありました。
現在は既存のセキュリティ製品をすり抜ける新種のマルウェアや攻撃テクニック、未知の脆弱性エクスプロイト等が広く生み出され、またRaaSやMaaSといったサイバー犯罪のビジネス化により、攻撃そのものの総量も増加しています。
ポリモーフィック・マルウェア | ゼロデイ脆弱性の悪用 | ファイルレス・マルウェア | 環境寄生型攻撃 |
LOTS(Living off the trusted sites) | スピアフィッシング | クレデンシャルの悪用 | 内部脅威 |
難読化 | RMM | ステガノグラフィ | デュアルユース・ツール |
アンチウイルスやファイアウォールは境界防御の代表的なツールであり、悪性プログラムや悪性通信が侵入を試みた時点で検出を試みます。
よって、これらのツールを攻撃者がすり抜けた時点で、内部ネットワークが侵害され、攻撃者による長期間の侵害を許してしまいます。
現在、サイバー攻撃による侵入を100%防ぐことは不可能と考えられています。
EDRは、エンドポイントを基盤とした検知と対応にフォーカスすることにより、攻撃者による大規模侵害を阻止します。
経済・社会活動におけるインターネットの活用は飛躍的に増大し、多くの組織が大規模なネットワークと多数のエンドポイント管理し、事業やビジネスに利用しています。
エンドポイント(PC、サーバー、モバイルデバイス等)は、脅威アクターにとって最も狙いやすい、脆弱性を抱えるアタックサーフェスです。
またリモートワーク(テレワーク)やBYODの普及が生産性・効率性や福利厚生を向上させた反面、多くのPCをインターネット上に露出させる結果ともなりました。
無数に散在するエンドポイントを保護し被害を局限するため、各エンドポイントの状況を可視化し、ログの相関関係等を分析する需要が高まったことが、EDRの普及を後押ししています。
国家支援アクターに限らず、現在のサイバー攻撃者はターゲットに侵入後、長期にわたって潜伏するために継続性を確立します。
攻撃者は情報窃取やランサムウェア配送等の目的を達成するために、ラテラル・ムーブメントや特権昇格、ファイル抽出、C2通信等を行います。
攻撃が始まってから検知するまでの期間が長引けば長引くほど被害が拡大するため、EDRによる不審なアクティビティの検出が必要となります。
「EDRの仕組み」で紹介したとおり、EDRはエンドポイントから膨大なログを収集し分析します。
このため迅速なインシデント対応や、インシデント調査、フォレンジック調査に活用することができます。
複雑なサイバー攻撃を調査し根本原因(ルートコーズ)を解明することが、組織のサイバーセキュリティ向上にとって不可欠となっています。
2021年5月、国家サイバーセキュリティの向上に関するアメリカ合衆国大統領令14028において、脆弱性検知やインシデント対応改善のため、各連邦政府機関に対しEDRの導入を義務付けました。
高度な標的型攻撃に対し、予防的な検知、能動的な脅威ハンティング、封じ込めと復旧、インシデント対応を実行することが目的です。
我が国の防衛省も、防衛関連企業と防衛省間のセキュアな情報共有を目的とする官民共用クラウド、防衛セキュリティゲートウェイ(DSG:Defense Security Gateway)の導入構想において、防衛省側の担任ネットワーク区域におけるEDRの整備を計画しています。
EDRは、組織のネットワーク環境に潜む脅威の兆候(IoCや不審なログ、アクティビティ)を予防的に探索する脅威ハンティングのツールとしても活用されています。
脅威ハンティングは、検知よりも一歩進んだ能動的な施策として導入されています。
本項ではEDRを選定・導入する上でのポイントを簡潔に紹介します。
これまでの説明にあるように、EDRはエンドポイントにおける侵入後の検知や対応、分析が主な機能です。
自組織のIT資産の環境を理解し、達成したい目的に沿ったEDR製品を見極めることが必要です。
以下、選定するにあたっての比較材料となる要素を列挙します。
なお米国の研究機関MITREは、各EDR製品に対し、特定APTの攻撃手法をシミュレーションし評価する取り組みを定期的に実施しており、検知能力や性能比較として参考にすることができます。
|
|
オープンソースのEDR/XDR(Wazuh等)もありますが、EDR導入は上の表に上げたような主要な製品を選ぶ形になると思います。
製品選定に際しては、次に解説する導入形態も必ず含めて検討しなければなりません。
EDRを導入するにあたって、どのように組織に導入し運用するかをあらかじめ検討しておきましょう。
特にEDRの最も重要なポイントである運用に関して、エンジニア/アナリストの確保や運用体制の計画などを準備しておくことを推奨します。
EDRを導入したものの、うまく運用できないといった声は少なくありません。
ここでは、当社が公開するホワイトペーパー等も参考に、EDR運用における課題をいくつか紹介します。
EDRはルールに基づいて、エンドポイント上の特定アクティビティに対しアラートを発信します。
ルール設定(チューニング)がうまくいっていない場合、誤検知や過検知が発生し、SOC運用者の混乱や疲弊につながるおそれがあります。
例: 「昨日のアラートは18万件です」 「どうしよう」 |
誤検知・過検知は、本来見逃してはならないはずの攻撃者の動きを見落とす原因ともなります。
ルール設定や自動化設定等を考慮したとしても、やはりEDRにはモニタリングや調査・対応を行う運用者が必要です。
EDRの収集ログを解析し対応するSOC部署が人員不足等で機能していない場合、大量のデータが埋もれ、セキュリティ強化に活かせない事態となります。
例: EDRを導入したものの、運用者や運用部署の準備が間に合わず、日々アラートが発生するものの誰も見ない(あるいは見なかったことにする)ため、放置状態となっている。 |
アラート発生後の分析・調査や、侵害が疑われるエンドポイントへの隔離操作等、運用体制の確立はEDR導入に不可欠です。
導入の際は、内製SOCと運用担当者の計画や、MSSへの委託、MDR導入等を考慮することが重要です。
SOCを運用する際も、脅威インテリジェンスを利用した検知ルールのアップデートや、インシデント対応プレイブックの更新など、定期的な見直し・改善が要求されます。
運用体制の整備を含むEDRの導入コストは、一般的にアンチウイルスよりも高額です。
中小企業や小規模組織にとっては、EDRを導入するコストが、守るべき資産や事業と比較して割に合わないというケースがどうしても発生します。
このような場合は、リスク分析を活用し、EDR導入の是非を検討することが望ましいといえます。
EDRは特に大規模組織におけるセキュリティ対策のスタンダードとなりつつあります。
しかしながら、前項でも触れたようにEDRは導入後の維持管理、継続的な運用が求められるため、手ごろで簡単なソリューションではありません。
中小企業がEDRを導入する上では特に複数の障壁に悩む例を多く見聞きします。
SOMPO CYBER SECURITYでは、EDRの導入に悩むお客さまに向けて、次世代アンチウイルスと種々のサービスを付加したパッケージを提供しています。
Deep Instinct SOMPO安心サポートパックは、機械学習による高度の検知機能を備えたNGAVと独自のサポートサービスによって、お客さまのエンドポイント環境を保護します。
|
Deep Instinctはイスラエル発のNGAVとしてグローバルで販売されており、検知能力について高い評価を受けています。
オンラインのファイル解析サービスであるVirusTotalと連携しており、その性能を実際の検体で確認することも可能です。
もちろん、既に導入済みのEDRを始めとしてSIEM、SOARとのインテグレーションでご活用することもできます。
サイバーセキュリティの鍵は、保有するリソースの最大効率化にあります。EDRやアンチウイルス製品を自組織の条件に応じて有効活用し、サイバー攻撃から組織の事業・ビジネスを守りましょう。
EDRの導入や運用でお悩みの方へ
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)