Endpoint Detection and Response(EDR)は、ツールのカテゴリの 1 つであり、コンピューターワークステーションやその他のエンドポイントの脅威に関連する情報を継続的に監視するツールを指します。EDR の目的は、セキュリティ侵害をリアルタイムに識別し、潜在的な脅威に対する迅速な対応を明確化することです。EDR は、ETDR(Endpoint Threat Detection and Response)と呼ばれることもあり、一連のツールの機能を指しますが、各機能の詳細は実装によって異なる場合があります。
この言葉は 2013 年にガートナーが初めて使用し、それ以降、サイバーセキュリティソフトウェアの新しいカテゴリと見なされるようになりました。
EDR の対象はエンドポイントであり、これには、エンドユーザーワークステーションやサーバーなど、ネットワーク内のすべてのコンピューターシステムが含まれます。EDR セキュリティソリューションはリアルタイムの可視化およびプロアクティブな検知と対応を実現します。これらの機能の実現には、次のようにさまざまな方法が使用されます。
エンドポイントからのデータの収集:通信、プロセスの実行、ユーザーのログインなどのデータがエンドポイントレベルで収集されます。このデータは匿名化されます。
EDR プラットフォームへのデータの送信:匿名化されたデータがすべてのエンドポイントから送信され、一か所に集約されます。集約先は通常、クラウドベースの EDR プラットフォームです。これは、それぞれの組織のニーズに応じて、オンプレミスまたはハイブリッドクラウドで実行することもできます。
データの分析:機械学習を利用して、データが分析され、ふるまい分析が実行されます。インサイトを利用して、通常のアクティビティのベースラインが確立され、疑わしいアクティビティを示す異常を特定できるようになります。EDR ソリューションによっては、脅威インテリジェンスが含まれ、サイバー攻撃の実例を活かしてコンテキスト情報が提供されるものもあります。その場合、ネットワークとエンドポイントのアクティビティがそれらの実例と比較され、攻撃が検出されます。
疑わしいアクティビティへのフラグの付加と対応:疑わしいアクティビティにフラグが付加され、セキュリティチームおよび関連するステークホルダーにアラートが送信されます。また、あらかじめ定められたトリガーに従って自動化された対応が実行されます。この対応の例としては、マルウェアがネットワーク内に拡散されることを防止するために、エンドポイントを一時的に隔離することなどが挙げられます。
将来の使用に向けたデータの保持:EDR ソリューションでは、その後の調査やプロアクティブな脅威ハンティングに役立てるためにデータが保持されます。アナリストやツールは、長期的に行われている攻撃や過去に検出されなかった攻撃の調査にこのデータを利用します。
EDR の使用は広がっています。これには、ネットワークに接続されるエンドポイントの増加とともに、サイバー攻撃の巧妙化が影響しています。サイバー攻撃で、ネットワークに侵入するための利用しやすいターゲットとしてエンドポイントが標的になることが多くなっているためです。
EDR の機能はベンダーによって異なります。そのため、組織で使用する EDR ソリューションを選択する際には、提案されたシステムの機能、および既存のセキュリティ機能との全体的な連携について予め調査しておくことが重要です。理想的な EDR ソリューションとは、最高レベルの保護を実現するとともに、必要な労力と投資を最小限に抑えられるもの、リソース不足を招くことなくセキュリティチームに付加価値を提供するものです。ここでは、確認すべき重要な要素を紹介します。
エンドポイントの可視化:
すべてのエンドポイントが可視化されることで、潜在的な脅威をリアルタイムで確認でき、速やかに脅威を阻止することができます。
脅威情報のデータベース:
EDR が有効に機能するには、エンドポイントから収集した大量のデータが必要です。EDR ではそのデータをコンテキスト情報で補足し、分析により攻撃の兆候を特定できるようにします。
ふるまいに基づく保護:
EDR には、実際にセキュリティ侵害が発生する前に、攻撃の痕跡(IoA)を見つけ、疑わしいアクティビティに関するアラートを関連するステークホルダーに通知する、ふるまいに基づくアプローチが含まれます。
インサイトとインテリジェンス:
脅威インテリジェンスと連携する EDR ソリューションは、疑わしい攻撃者に関する情報やその他の攻撃に関する詳細情報などのコンテキストを提供できます。
迅速な対応:
インシデントに対する迅速な対応を実行できる EDR では、攻撃がセキュリティ侵害につながる前に防止することができ、組織の正常な運用を継続するのに役立ちます。
クラウドベースのソリューション:
クラウドベースの EDR ソリューションでは、エンドポイントにまったく影響を与えることなく、検索、分析、調査の機能を高精度かつリアルタイムに継続的に実行できます。
EDR システムの細かな詳細や機能は、実装によって異なる場合があります。EDR の実装には、次の要素が含まれている場合があります。
攻撃者は攻撃手法を進化させ続けているため、従来の保護システムでは十分でない可能性があります。EDR は高度な脅威に対する保護の一形態であるとサイバーセキュリティの専門家は考えています。
ほとんどの企業は、幅広いサイバー攻撃にさらされています。サイバー攻撃には、攻撃者が既知のランサムウェアを含む電子メールの添付ファイルを送信するような、シンプルな日和見的攻撃から、攻撃者が既存のエクスプロイトや攻撃手法を使用しながら、マルウェアをメモリ内で実行するなどの回避手法を用いてそれらを隠そうとするような、より高度な攻撃まで幅広いものがあります。
そのため、組織のサイバーセキュリティ戦略において、エンドポイントセキュリティが重要な要素となります。ネットワークベースの防御は、大部分のサイバー攻撃をブロックするのに有効ですが、そこをすり抜けるものもあり、リムーバブルメディアで運ばれたマルウェアなどの場合には、その防御が完全に回避される可能性があります。エンドポイントベースの防御ソリューションでは、組織におけるセキュリティをより強化することができ、このような脅威を特定し、それに対応できる可能性が高まります。
世界中でリモートワークへの移行が進む中で、堅牢性の高いエンドポイント保護の重要性が高まっています。自宅で仕事をする従業員のサイバー脅威に対する保護のレベルは、オンサイトで働く従業員ほどではない場合があり、最新のアップデートやセキュリティパッチが適用されていない個人所有の機器が使用されている場合もあります。リモートで働く従業員は、従来のオフィス環境の場合よりもサイバーセキュリティに対する注意がおろそかになっている場合もあります。
その結果、組織および従業員がサイバーセキュリティリスクにさらされやすくなります。従業員を脅威から保護し、攻撃者が組織のネットワークを攻撃する手段としてリモートワーカーのコンピューターが使用されるのを防止するうえで、強力なエンドポイントセキュリティが重要になります。
セキュリティ侵害が発生した場合の修復は困難でコストが高くつく可能性があり、これが EDR が必要とされる最大の理由かもしれません。EDR ソリューションが導入されていないと、どのような対応を取るべきかを判断するために数週間かかる場合もあり、マシンのイメージを再作成するしか解決方法がない場合も少なくありません。そうなると、生産性が低下し、経済的損失が生じ、被害が大きくなる可能性があります。
EDR はアンチウイルスソフトウェアではありませんが、アンチウイルスの機能を備えている場合や、アンチウイルス製品のデータを使用する場合があります。アンチウイルスソフトウェアは、既知のサイバー脅威から保護する役割を担います。一方、EDR プログラムは実行されている新しいエクスプロイトを特定し、アクティブなインシデントにおける攻撃者の疑わしいアクティビティを特定することができます。つまり、EDR ソフトウェアは最新世代のサイバーセキュリティ製品の 1 つと言えます。
組織に EDR を導入する際に考慮すべきベストプラクティスにはさまざまなものがあります。
ユーザーを見落とさないこと
ユーザーはあらゆるシステムにおいて最大のリスクの 1 つとなります。ユーザーは、悪意によって、または人為的過誤によって損害をもたらす可能性があるためです。サイバー脅威およびリスクを伴う行動についてユーザーに教育を施して、セキュリティに関する意識を高め、フィッシングやソーシャルエンジニアリングなどの手法による不利益を最小限に抑えます。定期的なトレーニングや模擬的な脅威のシナリオは、サイバーセキュリティの問題に関するユーザーの意識を高め、インシデントが発生した場合の対応時間を短縮するのに役立ちます。
ユーザーによっては、EDR ソリューションがユーザーエクスペリエンスの邪魔になる場合に回避方法を探すことがあります。たとえば、防御機能を無効にしてエクスペリエンスを向上させようとする場合などが考えられます。しかし、ユーザーの要望に対してソリューションの柔軟性が高すぎると、攻撃者に付け入る隙を与える可能性があります。このようなソリューションが導入されている理由を理解してもらえるように、できる限りエンドユーザーに対する透明性を高めておくことが役立つ可能性があります。ユーザーの対応が必要な場面では、明確かつ率直なコミュニケーションが必要になります。システムでは、個人データや IP アーキテクチャなどのシステム情報を不用意に開示しないようにする必要があります。
他のツールとの連携
EDR ソリューションはエンドポイントを保護するためのものですが、組織内のすべてのデジタル資産を完全にセキュリティ保護できるわけではありません。EDR は、全体的な情報セキュリティ戦略の一部として、アンチウイルス、パッチ管理、ファイアウォール、暗号化、DNS 保護などの他のツールとともに運用する必要があります。
ネットワークセグメンテーションの使用
EDR ソリューションは脅威への対応時にエンドポイントを隔離しますが、ネットワークセグメンテーションの代わりになるわけではありません。以下に例を挙げます。
予防措置の適用
脅威に対する能動的な対応のみに頼るのではなく、能動的な対応と予防措置を組み合わせる必要があります。システムを常にパッチ適用済みで最新の状態に維持し、プロトコルと依存関係を網羅的にリストアップすることにより、対策が必要な脅威の数を減らすことができます。
定期的にシステムの監査を行って、ツールやプロトコルの構成や適用状態が適切であることを確認します。脅威モデリングとペネトレーションテストを継続的に行って、システムやツールの機能をテストします。
攻撃があった場合に誰がどのように対応するのかを定めた、包括的なインシデント対応計画を策定しておくのが理想的です。計画を策定しておくことで、インシデント対応時間を短縮するのに役立ち、イベント発生後に収集されたデータを分析するための枠組みが得られます。
利用可能なリソースの活用
サードパーティ製ツールを使用している場合は、EDR ベンダーから提供されている教育関連リソースを活用します。多くのベンダーが最新の機能やベストプラクティスに関する最新の情報をクライアントに提供するためのトレーニングやウェビナーを提供しています。ベンダーによっては、低額または無料でさまざまなセキュリティ関連のトピックに関する短時間のコースを提供している場合もあります。
コミュニティベースのリソースや情報共有分析機関(ISAO)で、役立つツールやリソースを見つけることができます。役立つサイバーセキュリティ関連のデータやインサイトが掲載されているウェブサイトを運営している、よく知られたコミュニティ組織としては、NVD(National Vulnerability Database)やOWASP(Open Web Application Security Project)などがあります。
従来型の EDR ツールは、エンドポイントのデータのみを対象とし、疑わしい脅威を可視化します。イベントの過負荷、ツールの対象範囲の狭さ、連携の不十分さ、スキル不足、時間の不足など、セキュリティチームが直面する課題が変化し続けるのに応じて、EDR ソリューションも変化を続けています。
XDR(Extended Detection and Response)は、EDR(Endpoin Detection and Response)よりさらに新しいアプローチです。「X」は「extended」を表し、分離されたサイロ内の脅威の調査には制限があることを認識したうえで、ネットワーク、クラウド、サードパーティ、エンドポイントデータなど、あらゆるデータソースを対象とすることを意味します。XDR システムでは、分析、ヒューリスティック、自動化を組み合わせて、これらのソースからインサイトを抽出するため、サイロ化されたセキュリティツールよりもセキュリティが強化されます。その結果、複数のセキュリティ運用環境にまたがる調査が簡素化され、脅威の発見、調査、対応にかかる時間が短縮されます。
関連するカスペルスキー製品
他の読み物: