EDR 運用のありがちな課題と効果的な運用方法を解説
EDRは、いまやポピュラーなセキュリティ対策のひとつです。
従来型のセキュリティ対策にくらべて新たなアプローチをとるため、上手く使えば効果的である反面、なかなか運用が難しく、課題感を覚える企業も多いのではないでしょうか。
本記事では、EDR運用におけるありがちな課題と効果的な運用方法を解説しますので、参考にしてください。
目次
EDRについておさらい
EDR(Endpoint Detection and Response)は、直訳するとエンドポイントにおける検知と対応、すなわち、PCやスマートフォン、サーバといったエンドポイント端末においてマルウェア検知・分析、対応をするソリューションです。
EDRの機能としては、大きく分けて下記の4つがあります。
- 検知
- 隔離
- 調査
- 復旧
EDRは、エンドポイントにおいて24時間365日の監視をしていて、その中でマルウェアを検知した際、管理者へアラートを飛ばし、その後の対応の判断や実行を促します。
そして、マルウェアが組織内のネットワークや他のPC、スマートフォン、サーバに感染拡大しないように隔離します。
当該エンドポイントをネットワークから切り離し、取得しているログを具に解析し、マルウェアの感染経路や被害拡大状況、程度を調査・分析にあたります。
そして、マルウェアの駆除をします。マルウェアの駆除が完了したら、再び当該エンドポイントの利用が可能となり、業務再開できます。
こうした機能でEDRは企業・組織のセキュリティ対策を支えています。
EDRについて詳しくは「EDRとは 意味やウイルスソフトやUTMとの違いを解説」を参照してください。
そもそもEDRが必要になった背景
そんなEDRが必要となった背景としては、下記が挙げられます。
ゼロトラストセキュリティの概念
EDRは従来型のセキュリティ対策と比較して新しいアプローチをとるソリューションです。
従来型のセキュリティ対策は、「境界型セキュリティ」の考え方に基づいたものでした。
境界型セキュリティでは、ネットワークやエンドポイント等をひっくるめた組織の内側と外側を明確に線引きし、その境界での防御を万全にします。
境界の内側を安全な状態に保つことで、組織の情報資産を保護する、というアプローチです。
EPPを始めとするアンチウイルスなどはこれに基づいたソリューションです。
しかし、近年、この境界型セキュリティでは対策として不十分になってきています。というのも、
- マルウェア検知をすり抜ける高度・複雑なマルウェアが膨大に生み出され続けている
- リモートワークやクラウドの普及で組織の内側・外側が曖昧になっている
- 内部不正への対応も急務になっている
という状況があり、境界の内側であっても信用できなくなってしまいました。
そこで、誕生したのが、「ゼロトラスト・セキュリティ」の考え方です。
ゼロトラスト・セキュリティは、組織の内側・外側関係なく全てを信用しないというアプローチで、組織内外関わらずあらゆるアクセスに認証を要求しますし、すべてのソフトウェア・ファイルをマルウェアの可能性があると疑います。
エンドポイントセキュリティ
ゼロトラスト・セキュリティの一環として、エンドポイントセキュリティは位置します。
EDRは、先述のアンチウイルスのように境界で門番のようにエンドポイントを守るのではなく、エンドポイント全体の挙動を24時間365日監視し、どこかで不審な挙動がないか目を光らせています。
そうすることで、たとえ危険なマルウェアがエンドポイントに侵入してしまっていても、迅速な対応が可能になるのです。
EDRは中小企業でも必要
また、そんな高度なセキュリティ対策は自社には必要ないんじゃないか、という声もしばしば耳にしますが、決してそんなことはありません。
すべての企業においてEDRの導入が効果的かつ必要で、それは中小企業も例外ではありません。
サプライチェーン攻撃の脅威
サプライチェーン攻撃は、例年IPAの「情報セキュリティ10大脅威」でも取り上げられる危険なサイバー攻撃の手法です。
攻撃者の標的はあくまでも大企業ですが、大企業はコスト・リソースが潤沢であるため、セキュリティ対策もそれなりに堅牢です。そこで、大企業に比べるとセキュリティ対策がまだまだこれから、という大企業のサプライチェーンにある中小企業に再バー攻撃を仕掛けます。
そして、そこを足がかりにして大企業へと不正アクセスを働きます。
こうした攻撃があるからこそ、中小企業においても最新のセキュリティ対策、すなわちEDRの導入が求められるのです。
国際的な要請も
また、国際的な要請と言うのもひとつの要因です。
近年、EUにおけるGDPRや米カリフォルニア州におけるCCPRなど、国際的にみてもプライバシー保護やセキュリティ対策への法規制および関心が高まってきています。
そのため、とくにグローバルに取引のある企業ないしは海外からの受注・アクセスの可能性のある企業はセキュリティ対策に高い意識を持っている必要があります。
EDR運用でありがちな課題
こうしたさまざまな要請のなかで、EDR導入を進めていくことになる訳ですが、ただ、EDRの運用はなかなか困難が多いのも事実です。
代表的な物としては、下記が挙げられます。
- アラート対応業務の専門性
- リソース不足
アラート対応業務の専門性
EDR業務において最も重要でありつつ、専門性やリソースの課題として上げられるのが、このアラート対応になります。
EDRはエンドポイントにおける不審な挙動を検知して管理者にアラートを発報しますが、この中には、本当に危険なマルウェアが侵入してきたことを示すアラートと、単なる誤検知の両方が含まれています。
その判別も難しいですし、そもそも24時間365日膨大な数のアラートを把握・処理しなければなりません。
とくにシビアなのが、管理者による対応も24時間365日であることが理想であるという点で、マルウェア感染というのは、検知・対応が迅速であればあるほどよいため、EDRがマルウェアを検知しても、管理者がそれを認識しなければ意味が無くなってしまうこともあるのです。
リソース不足
そうしたアラート対応業務にあたるリソースが組織内に存在していない、という課題も大きいです。ただでさえ忙しく、しかも他業務との兼務であることも多いセキュリティ担当者がEDRにつきっきりになることは絵に描いた餅です。
そもそもEDRを運用するには、それ相応の専門的な技術・スキルの習得が望ましいため、そこも障壁となっています。
効果的なEDR運用とは
そうした困難がありつつも、EDRの導入は基本的に必要と言っても過言ではないほど望ましいものですので、できれば導入したいものです。
では、いったいどのようにEDRを導入するのがよりよく効果的なのでしょうか。
そもそもEDR運用に必要なこと
EDR運用には、いくつか必要なことがあります。
- EDRのチューニング
- 組織的な運用体制の構築
- 継続的な運用・監視
EDRのチューニング
EDR製品を導入しても、すぐに利用ができる訳では、実はありません。
先述の通りEDRにも誤検知は存在し、その中で自組織に求められるセキュリティレベルと照らし合併せて、
- 誤検知を減らすようEDRに機械学習させる
- 許容する誤検知の量と見落としリスクの塩梅を決める
というチューニングの期間が必要です。
この見極めはなかなかむずかしいので、しっかり要件定義や運用ポリシー策定で対応していきましょう。
組織的な運用体制の構築
組織的な運用体制の構築も必要です。
先述の通り、24時間365日EDRによるアラートに対応できる体制作りと言うのももちろん構築しなければなりませんし、また、SOCがアラートを発報した際のインシデント対応・対策のフローの策定も必要です。
その他、EDR導入しやすいよう自社システム環境の把握・整備も必要になるでしょう。
継続的な運用・監視
EDRはチューニングの必要性もありますし、24時間365日の対応も迫られます。
それだけ継続的に手間をかけていく必要があるということを覚悟しておいてください。
SOCの導入
こうしたEDRの困難に対し、最適であるのが、SOCの導入です。
SOC(Security Operation Center)は、辞書的な意味としては、24時間365日、組織のデバイスやネットワークを監視し、マルウェア検出やリスク対策・対応にあたる組織です。
企業・組織内に構築数る場合と、外部に委託する場合があります。
高い専門性を有した分析者の集団として、企業・組織のセキュリティ対策をリードする役割を担います。
SOCの代表的な役割としては、下記が挙げられます。
- セキュリティ診断
- インシデント発生時の対応
- セキュリティ運用業務
- 社内ヘルプデスク
- ログ監視
すでにお気づきの方もいらっしゃるかもしれません。
EDRの効果を最大限享受するにあたって、SOCと言うのは相性が非常によく、何なら、SOCのためのツールとしてEDRが存在すると言っても過言ではないかもしれません。
EDRとSOCの関係性については「EDRとSOCの違いと関係性を徹底解説 自社に最適なセキュリティソリューションを」を参照してください。
まとめ
EDR運用の必要性と課題・効果的な方法について解説しました。
いまやEDRをはじめとしたゼロトラストセキュリティの構築はすべての企業で必須になっています。
しっかり対応して、自社の情報資産を守っていきましょう。