- 2021-05-04
パソコンのセキュリティ対策は万全でしょうか?
最近ではEDR(Endpoint Detection and Response)という次世代のセキュリティ対策が登場しており、最新のサイバー攻撃にも対応できるようになっています。今回はEDR製品の特徴と主要な5つの製品について、解説していきます。
セキュリティ対策の種類
まずは、従来のセキュリティ対策とEDRは何が異なるのか見ていきましょう。
AV/EPP
AV(Anti Virus)やEPP(Endpoint Protection Platform)とは、コンピュータウィルスを防ぐことを目的としたソフトウェアです。ブラウザやOfficeツールと同じように、パソコンにウィルス対策ソフトをインストールして利用します。
これまでに検出されたウィルスのパターンをデータベース化し、定期的にパソコンをスキャンすることで、そのパターンと同様のウィルスがないかをチェックします。この手法では、過去に検出されたウィルスは検知できますが、データベースにはない最新のウィルスに対して対応ができません。
NGAV
NGAV(Next Generation Aniti Virus)とはAVとは異なり、ウィルスパターンで検知するわけではありません。AIや機械学習を使って、ウィルスの振る舞いや挙動を予測し、マルウェアの疑いのあるものを事前に検知して、ブロックし、ウィルスの感染を防ぎます。
EDR
EDR(Endpoint Detection and Response)とは、エンドポイントのパソコン操作を記録・監視し、NGAVでは防ぐことができなかったサイバー攻撃について検知・対処するサービスです。
EDRでは、最新のマルウェア、ランサムウェアによる攻撃がないか、パソコンのログを常にサーバへ送信し、分析・解析しています。ログを解析し怪しい挙動を認知すれば、すぐに管理者に通知し、ブロックできます。EDRを使うことで、ログを元にした精度の高い分析と素早い対処が可能となります。
EDRの特徴
それではEDRの特徴について見ていきましょう。
EDRの主な特徴は以下の4つです。
モニタリング機能
エンドポイントに専用のソフトウェアを導入し、ファイル操作、ネットワーク接続、レジストリ情報、イベントログといった端末の操作情報を全て監視します。
解析・調査機能
モニタリングしたログをサーバへ送り、マルウェアかどうかを検知します。さらに不正プログラムやマルウェアが侵入した痕跡を探ります。そして、検知されたプログラムやプロセスのインシデントの詳細についてさらに解析していきます。
検知・防衛機能
マルウェアが存在するパソコンを特定し、マルウェアの発生・侵入について、管理者に警告します。そして、外部からの攻撃やマルウェアの脅威からエンドポイント端末を守ります。
インシデント対策
外部からの感染や侵入を検知した場合、ネットワークを切断し、アプリケーションなどを無効化します。もし、マルウェアの疑いがあれば、管理者は該当プロセスをリモートで停止します。
EDR製品の比較ポイント
現在EDR製品は数多く存在しております。この中からどのように製品を選べばよいでしょうか。EDR製品を選定するにあたり注意しておくポイントは大きく分けて3点あります。
利用環境
まずはEDRを導入する環境について整理しましょう。
近年システム環境は複雑になりつつあり、使用しているマシン、OSも多様化しています。現在の環境で利用できることはもちろんですが、将来的にシステム変更の予定があれば、なるべく多くの環境をサポートしているEDRを選定してください。
提供形態
基本的にEDRはクラウド型の提供が多いです。しかし、社内独自システム上に導入するケースも考えられます。オンプレミスで対応させるとなると、メンテナンス費用が高くなる傾向があります。さらに、今後新規システムを導入する場合は、EDR製品がカスタマイズできるかも抑えておくとよいでしょう。
特徴・機能
EDRではサイバー攻撃を検知し、封じ込め、分析して、復旧させるというのが一連の流れです。
ただしEDRによっては、分析機能が不足している、復旧機能が充実しているなど機能面に違いがあるので、あらかじめ必要な機能について整理しておきましょう。
EDR製品の比較
最後に代表的な5つのEDR製品の特徴について整理します。
各製品の特徴をご確認いただき、環境や目的に合わせて選定してください。
1. Cybereason EDR
エンドポイント端末をリアルタイムで監視し、収集したログに対してAIを活用することで悪意のある振る舞いを分析します。これにより従来の対策をすり抜けていた複雑なサイバー攻撃をリアルタイムに検知し、管理者に通知することができます。
本製品はイスラエル軍の諜報部隊でサイバーセキュリティに携わったメンバーらによって開発されたこともあり、サイバー攻撃の最前線で培ってきた創業者たちの実戦経験が製品に活かされています。
そして、イベント検知から他端末への感染状況を把握できるため、被害拡⼤の抑⽌措置、原因の特定といった、初動対応が素早くなります。さらに、1秒間800万回のビッグデータ解析により、異常な振る舞いから、未知の攻撃を絞り込み特定、検知することもできます。
また、必要な設定情報などをパッケージ化したセンサーを、サイレントインストールすることが可能であり、端末への負荷が最⼩限になるよう設計されております。自動解析された結果が時系列で管理画面上でグラフィカルに表示されて見やすいのも特徴です。
2. Trend Micro Apex One
Trend Micro Apex Oneは、必要なセキュリティ機能を集約させることで、ファイルレスなど、巧妙化し続ける脅威に対し、高度な検出と自動対処を可能にします。
また、高度なEDRの機能により、企業内ネットワークを迅速に可視化し、被害端末や侵入プロセスを特定します。先進技術と実績ある技術を融合したXGenにより、様々な脅威に対して広範囲に保護し、データ侵害を受ける前に脅威を検出します。
さらに、Apex Oneでは、様々な用途や環境に合わせるため、オンプレミス版とSaaS版を提供しています。
3. Symantec Endpoint Detection and Response
世界中の測定データとユーザーのコンテキストを組み合わせることで、エンドポイント、ネットワーク、電子メールの脅威を確実に検出できるのが特徴です。
さらに、クラウド型ベアメタルサンドボックス「Cynic」には、防御ポイントを横断的に検知し、クラウド上にある隔離環境(サンドボックス)で疑わしいプログラムやプロセスを実行して、エンドポイント、ネットワーク、メール経由の標的型攻撃やゼロデイ攻撃といった脅威を検出可能です。
そして、シマンテック社がグローバルで運用するセキュリティ監視センター(SOC)のコア技術を小型化したクラウド型相関分析エンジン「Synapse」には、エンドポイント、ネットワーク、電子メールのすべての不審な活動を集計して関連付け、本当に危険なものなのかを判断し、最もリスクの高いイベントだけを特定し優先順位を付けます。
また、管理者にとってもSymantec EDRの管理画面では、問題が発生している場所の特定、改善までを簡単に把握することができます。必要なデータがまとめて表示されるため、個別で検索する必要もありません。
4. Cisco Secure Endpoint(AMP for Endpoints)
Cisco AMP for Endpointsは、ウィルスを侵入前に防御するEPPと未知のウィルスに対する対応であるEDRを組み合わせているのが大きな特徴です。組織の大小に関わらず、クラウドで一元管理できます。
エンドポイントのセキュリティとして、脅威の侵入を検知し阻止する従来の機能だけではなく、万が一攻撃を受けてしまった場合のの対策機能も搭載しており、包括的かつ一元的なセキュリティ対策が可能になっています。
クラウドで実装された15のエンジンを活用することで、最新の脅威情報を参照しながら、ファイルをスキャンします。そのため、エンドポイント側での負荷軽減もできます。既存で利用中のエンドポイント製品があれば、AMPとの共存も可能です。
5. Endpoint Standard(旧CB Defense)
クラウド上でビッグデータの解析の一つであるイベントストリーミング処理を利用することで、リアルタイムにファイルだけでなくイベントの関係を分析し、セキュリティリスクを判断できる機能があります。そのため、未知のマルウェア、ファイルレス攻撃の検出も可能です。
また、EDR機能では、エンドポイントのイベント情報を収録する監視カメラの機能があります。これによりインシデントになりうるイベントの対応優先度をあげたり、感染した際には、被害を拡大しないために、早期検知〜復旧までを実現します。
そして、インシデントのイベントについては、エンドポイントの検疫、感染範囲や侵入経路の特定をします。最終的にエンドポイント復旧までの支援機能も充実しています。
まとめ
今回は次世代セキュリティ対策であるEDRの概要と代表的なEDR製品の特徴について説明しました。
EDR製品について検討いただき、自社の目的と用途に合った製品を導入しましょう。