サイバー攻撃に対する新対策、EDRとは?

2019年01月22日

新たなセキュリティ対策「EDR」

私たちは日々さまざまな情報を管理・利用しており、そうした情報を守るためにセキュリティ対策が必要なことは広く知られています。しかし、対策を施したとしてもサイバー攻撃の標的になる危険性があることも事実です。

そうしたサイバー攻撃への新たなセキュリティ対策として「EDR」と呼ばれるソリューションが注目を集めています。

そこで今回は、「EDR」とは何なのか、「EDR」が注目されるようになっている理由についてご紹介していきます。

EDRは「脅威の侵入が避けられないことを前提」としたセキュリティソリューション

「EDR」とは「Endpoint Detection and Response」の頭文字をとった略称で、「サイバー攻撃により攻撃者に侵入されることを前提として、エンドポイント(端末)で攻撃を検出、その後の対応を支援する」というものです。

EDRはエンドポイントを監視し、エンドポイント上で動作しているアプリケーションのアクティビティ情報を集めます。そして、攻撃と疑わしき脅威を検知した場合、端末の不審な動作を停止し、端末を隔離します。

EDRのプロセス

エンドポイントとは、インターネットや社内LANの末端に接続された端末です。例としては、企業に設置されているPC・サーバー類・可搬端末や、AWSやAzureに代表されるようなクラウドサービス上の仮想マシンが挙げられます。一つ一つ数え上げると、企業によってはエンドポイントが莫大な数になっているかもしれません。

セキュリティ対策としては「サイバー攻撃を防ぐ・ウイルスを侵入させない」という考えがこれまで一般的でしたが、EDRは「侵入されることを前提に、いち早くその脅威を検出して対応」することが主な役割です。従来のセキュリティ対策をサイバー攻撃がすり抜けてきた場合に活躍する、いわば応急処置を施し、更に原因調査の手助けをしてくれるソリューションと言えます。

巧妙化するサイバー攻撃への対策、
早急なエンドポイント封じ込めのためにEDRが導入されるように

 

EDRが必要とされるようになった背景には「巧妙化するサイバー攻撃」「早急なエンドポイント封じ込めの必要性」、「テレワークの普及によるエンドポイントのリスク増加」があります。

背景1. 巧妙化するサイバー攻撃

現代においては、サイバー攻撃から機密情報や顧客・社員の個人情報を守るため、数多くのセキュリティ製品が登場し、導入されています。強固なセキュリティによって情報は守られているはずですが、サイバー攻撃による個人情報の漏洩といったニュースは後を断たず、2017年には判明しているだけでも561万3,797人分の個人情報が流出してしまいました。(*1)

2018年度のセキュリティ脅威として「標的型攻撃による情報の窃取」や、「ランサムウェアによる被害」、「インターネット上のサービスからの個人情報の窃取」、「サービス妨害攻撃によるサービスの停止」が上位に挙げられ、2020年もサイバー攻撃による脅威の増大が予測されています。(*2)

最も脅威とされている「標的型攻撃」の攻撃方法としては、メールやWebサイトからウイルスに感染させることで端末へ侵入し、さらに組織内の別のパソコンやサーバーに感染を拡大させ、企業の重要な情報や個人情報を入手するという方法がメジャーです。

セキュリティ対策を施しているのに、なぜサイバー攻撃による被害が起きるのか。セキュリティ製品は日に日に進化していますが、ユーザーがそれらをすぐに導入できるわけではありません。そのうえサイバー攻撃も巧妙化し続けいるからです。

巧妙化したサイバー攻撃の1つに、OSなどの標準的な機能を利用した「非マルウェア攻撃」と呼ばれるものがあります。既存のアンチウイルスソフトでは検知することが難しいうえに、非マルウェアによる攻撃数の割合は通常のマルウェアの攻撃数の割合を上回っています。(*3)

アンチウイルスとEDR

こうした新たな攻撃手法によって、強固なはずのセキュリティの穴をすり抜けられることも少なからずある、これが現実と言えるでしょう。
そのため、従来のような侵入させないためのセキュリティに加えて、すり抜けて侵入してきた場合の対策も行う必要があり、その対策の1つとしてEDRが注目されているのです。

 

背景2. 早急なエンドポイント封じ込めの必要性

EDRが注目されている1つの背景として、「早急な端末封じ込めの必要性」があげられます。セキュリティ対策はしていたが、突破されてしまった。そのとき大事なことは、端末をネットワークから隔離することで、外部への情報漏洩、他端末への感染を防ぐことです。

感染した端末をネットワークに繋がった状態のままにしておくと、情報を外部に送信されてしまったり、他の端末に感染して被害が拡大してしまったりする可能性があります。

そこでサイバー攻撃などの脅威が侵入してくることを前提に、エンドポイントで攻撃をすばやく検知・対応の支援をしてくれるEDRの導入が効果的です。

EDR製品のなかには、侵入してしまった脅威にいち早く対応をするために、遠隔から端末を操作する機能を備えているものもあります。攻撃を受けてしまったが、端末が遠隔地にある端末の利用者と連絡がとれない、といった場合でも、遠隔操作によって離れた場所から端末の隔離・調査をすることができるため、緊急時でも素早い対応ができます。

端末の隔離後も、端末内の脅威の検知や侵入後の挙動を可視化することによって、影響範囲の特定・原因調査をすることでき、再発防止のための対策をするために大いに役立ちます。

攻撃を受けてしまった際の、迅速な対応のためにも、EDRが必要とされているのです。

背景3. テレワークの普及によるエンドポイントのリスク増加

EDRが注目されるようになったのには、最近よく耳にする、「働き方改革」とも関係があります。日本政府が推進する働き方改革のひとつとして、「テレワーク」が挙げられます。企業規模を問わず働き方改革の潮流を受け、在宅勤務やサテライトオフィス勤務などのテレワークが推奨されており、企業のテレワーク利用率は増加しています。(*4)

テレワークを実施するということは、端末を社外に持ち出したり、社内に持ち込んだりするということになります。社外に持ち出した端末による情報漏えいや、社内に持ち込んだ端末からマルウェアが拡散してしまうといったリスクが考えられます。テレワークを実施するには、エンドポイントのセキュリティ対策は欠かせません。

エンドポイントのリスク増加

EDRを活用すれば、端末が自宅やサテライトオフィスにあったとしても、遠隔から端末をネットワークから切り離すことができるので安心です。さらに、EDRの機能を利用することで、端末で何が起きているのか、詳細な調査をすることができます。

さらに、近年流行している感染症の影響から、テレワークを推奨する企業も増えてきました。テレワークを実施するためにはエンドポイントのセキュリティ対策は必須であり、EDRの導入は有効であるといえるでしょう。

 

まとめ

ここまでEDR(Endpoint Detection and Response-エンドポイントでの脅威の検出と対応)についてご紹介しました。EDRの特徴をまとめると、以下の3つです。

1. エンドポイント(端末)で脅威を検出する。
2. 既存のシステムと違い「侵入を防ぐ」目的ではなく「侵入された後の素早い対応支援」を目的とする。
3. 巧妙化する新たな脅威にも備えることができる。

年々新たな技術やサービスが生まれていく裏で、新しい攻撃手法も発見され、私たちの大事な情報を狙っています。NTTテクノクロスでは、サイバー攻撃対策として「TrustShelter(トラストシェルター)」というセキュリティサービスを展開しています。

サービスの1つには、今回ご紹介したEDR機能に加えて「NGAV(次世代アンチウイルス)」の機能を搭載した次世代エンドポイントセキュリティ「TrustShelter/EPP」をご用意しています。
未知の攻撃の阻止はもちろん、攻撃を受けてしまった際も端末を隔離することで脅威を封じ込め、感染拡大・情報漏洩を防ぎます。更に、攻撃の検出・可視化をすることで再発防止に向けての調査をサポートします。被害を最小限に抑え、インシデント調査・対応の負荷も減らすことができます。

「アンチウイルスソフトを導入しているけれど、それだけでは不十分なの?…」
そんな不安をお持ちの方は、お気軽にNTTテクノクロスにご相談ください。最適なソリューションでお客様を守ります。

zerotrust_banner

※会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。

 

(引用)

(*1)NPO法人ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する報告書【速報版】」

(*2)独立行政法人 情報処理推進機構(IPA)「情報セキュリティ10大脅威2020」

(*3) Carbon Black, Inc「Carbon Black 2017 Threat Report: Non-Malware Attacks and Ransomware Continue to Own the Spotlight」

(*4)総務省 「企業におけるテレワーク利用」

関連するソリューション・製品