EDR(Endpoint Detection and Response)とは、リアルタイムの分析やAI駆動型オートメーションを利用して、サイバー脅威から組織を保護するためのソフトウェアです。EDRは、従来のウイルス対策ソフトや一般的なエンドポイント・セキュリティー・ツールをすり抜けた脅威から、エンドユーザーやエンドポイント・デバイス、IT資産を守ります。
EDRは、デスクトップ・コンピューターやノートPC、サーバー、モバイル・デバイス、IoT(モノのインターネット)デバイスなど、ネットワーク上のすべてのエンドポイントからデータを継続的に収集します。このデータをリアルタイムで分析して、既知または疑わしいサイバー脅威の証拠を探索し、自動的に対応することで、特定した脅威による被害を防止または最小限に抑えることができます。
EDRは、2013年にガートナー社によって初めて認められ、現在では企業に幅広く採用されています。これには正当な理由があります。
調査によると、成功したサイバー攻撃の90%、成功したデータ侵害の70%がエンドポイント・デバイスから発生していると推測されています。ウイルス対策やマルウェア対策、ファイアウォール、その他の従来のエンドポイント・セキュリティー・ソリューションは時間の経過とともに進化してきましたが、検知できるのは既知のファイル・ベースまたはシグネチャー・ベースのエンドポイント脅威に限定されています。機微データを漏らすように被害者を誘導したり、悪意のあるコードを含む偽のWebサイトにアクセスさせたりするフィッシング・メッセージなどのソーシャル・エンジニアリング攻撃を阻止する効果ははるかに低くなります。(フィッシングはランサムウェアの最も一般的な配信方法です。)また、ファイルや署名のスキャンを完全に回避するためにコンピューターのメモリのみで動作する「ファイルレス」サイバー攻撃が増えていますが、これに対しては無力です。
最も重要なことは、従来のエンドポイント・セキュリティー・ツールでは、それらをすり抜けて侵入してくる高度な脅威を検知したり、無力化したりできないということです。このため、これらの脅威は何カ月もネットワークを徘徊し、データを収集し、ランサムウェア攻撃やゼロデイ・エクスプロイト、その他の大規模なサイバー攻撃を仕掛ける準備として脆弱性の特定が可能になります。
EDRは、これらの従来のエンドポイント・セキュリティー・ソリューションでは対応できない部分を補います。その脅威検知分析と自動対応機能により、多くの場合、人間の介入なしに、ネットワーク境界に侵入する潜在的な脅威を特定して、深刻な被害をもたらす前に封じ込めることができます。EDRには、疑わしい脅威や新たな脅威を自ら発見・調査・防止するためのセキュリティー・チーム向けのツールも用意されています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ベンダーによって異なりますが、EDRソリューションは通常、継続的なエンドポイント・データの収集、リアルタイムの分析と脅威の検知、自動化された脅威への対応、脅威の隔離と修復、脅威ハンティングのサポートの5つの中核機能を兼ね備えています。
EDRは、ネットワーク上のすべてのエンドポイント・デバイスから、プロセス、パフォーマンス、構成変更、ネットワーク接続、ファイルとデータのダウンロードまたは転送、エンドユーザー、またはデバイスの動作に関するデータを継続的に収集します。このデータは、通常はクラウドでホストされる中央データベースまたはデータレイクに保管されます。
ほとんどのEDRセキュリティー・ソリューションは、すべてのエンドポイント・デバイスに軽量のデータ収集ツール(エージェント)をインストールして、このデータを収集します。中には、エンドポイント・オペレーティング・システムの機能に依拠するものもあります。
EDRは、高度な分析と機械学習アルゴリズムを使用して、既知の脅威や疑わしいアクティビティーを示すパターンが展開されるとリアルタイムで特定します。
一般に、EDRは2種類の指標を探します。1つは潜在的な攻撃または侵害と一致するアクションまたはイベントである侵害指標(IOC)で、もう1つは既知のサイバー脅威またはサイバー犯罪者に関連するアクションまたはイベントである攻撃指標(IOA)です。
これらの指標を識別するために、EDRは独自のエンドポイント・データを脅威インテリジェンス・サービスのデータとリアルタイムで相関させ、使用される戦術や悪用されるエンドポイントまたはITインフラの脆弱性など、新しい最近のサイバー脅威に関する最新情報を継続的に提供します。脅威インテリジェンス・サービスには、独自のもの(EDRプロバイダーによって運営される)やサードパーティーのもの、またはコミュニティー・ベースのものがあります。さらに、多くのEDRソリューションは、データをMitre ATT&CKにマッピングしています。これは、ハッカーのサイバー脅威の戦術とテクニックに関する、自由にアクセスできるグローバルな知識ベースで、米国政府もこれに寄与しています。
EDR分析とアルゴリズムは、リアルタイム・データを履歴データや確立されたベースラインと比較して、疑わしいアクティビティー、異常なエンドユーザー・アクティビティーおよびサイバーセキュリティー・インシデントや脅威を示す可能性のあるものを特定する独自の調査を行うこともできます。また、「シグナル」、つまり正当な脅威を誤検知の「ノイズ」から分離することができるため、セキュリティー・アナリストは重要なインシデントに集中できます。
多くの企業は、エンドポイントばかりではなく、アプリケーションやデータベース、Webブラウザー、ネットワーク・ハードウェアなど、ITインフラのすべてのレイヤーにわたるセキュリティー関連の情報を収集するSIEM(セキュリティー情報およびイベント管理)ソリューションとEDRを統合しています。SIEMデータは、脅威を特定し、優先順位を付け、調査し、修復するための追加的なコンテキストでEDR分析を強化することができます。
EDRは、ソリューションのユーザー・インターフェイス(UI)としても機能する中央管理コンソールに重要なデータと分析結果を要約します。セキュリティー・チームのメンバーはコンソールから企業全体のあらゆるエンドポイントとエンドポイント・セキュリティー問題を完全に把握し、あらゆるエンドポイントに関わる調査や脅威への対応、修復を開始できます。
オートメーションこそがEDRにおける「Response(対応)」、つまり「迅速な対応」を実現する要素です。EDRソリューションは、セキュリティー・チームが設定した事前定義されたルール、あるいは機械学習アルゴリズムによって時間をかけて「学習」されたルールに基づいて、以下のことを自動的に行えます。
EDRは脅威の調査と修復アクティビティーを自動化できます(以下を参照)。また、SOAR(セキュリティー・オーケストレーション、オートメーション、レスポンス)システムと統合して、他のセキュリティー・ツールを含むセキュリティー対応プレイブック(インシデント対応シーケンス)を自動化することもできます。
こうしたすべてのオートメーションにより、セキュリティー・チームはインシデントや脅威に迅速に対応し、ネットワークへの被害を最小限に抑えることができます。また、セキュリティー・チームが手元にあるスタッフを最大限に活用して効率的に作業できるようになります。
脅威が分離されると、EDRはセキュリティー・アナリストが脅威をさらに調査するために使用できる機能を提供します。例えば、フォレンジック分析は、セキュリティー・アナリストが脅威の根本原因を特定し、影響を受けたさまざまなファイルを特定し、攻撃者が悪用した脆弱性を特定してネットワークに進入して移動し、認証情報にアクセスしたり、その他の悪意のあるアクティビティーを実行したりするのに役立ちます。
この情報を活用すれば、アナリストは修復ツールを使用して脅威を排除できます。修復には、次のものが含まれる場合があります
脅威ハンティング(サイバー脅威ハンティングとも呼ばれる)は、セキュリティー・アナリストがネットワークを検索して、組織の自動化されたサイバーセキュリティー・ツールによってまだ検知または修復されていない未知の脅威や既知の脅威を探すプロアクティブなセキュリティ演習です。高度な脅威は、検知されるまで数か月も潜伏し、大規模な侵害に備えてシステム情報とユーザー認証情報を収集します。効果的かつタイムリーな脅威ハンティングにより、これらの脅威の検知と修復にかかる時間を短縮し、攻撃による被害を制限または防止できます。
脅威ハンターはさまざまな戦術やテクニックを使用しますが、そのほとんどはEDRが脅威の検知・対応・修復に使用するものと同じデータ・ソースや分析、オートメーション機能に依拠しています。例えば、脅威ハンティングのアナリストが、フォレンジック分析に基づいて特定のファイルや設定変更、その他のアーティファクトを検索したい場合や、MITRE ATT&CKの特定の攻撃者の手口を記述したデータを検索したい場合などです。
脅威ハンティングをサポートするために、EDRは、UI駆動型またはプログラム的な手段を介してセキュリティー・アナリストがこれらの機能を利用できるようにし、アドホック検索やデータ・クエリー、脅威インテリジェンスとの相関、およびその他の調査を実行できるようにします。脅威ハンティングに特化したEDRツールには、単純なスクリプト言語(一般的なタスクの自動化のための)から自然言語クエリー・ツールまで、あらゆるものが含まれます。
EPP(エンドポイント保護プラットフォーム)は、次世代ウイルス対策(NGAV)およびマルウェア対策ソフトウェアと、Web制御またはWebフィルター・ソフトウェア、ファイアウォール、Eメール・ゲートウェイ、およびその他の従来のエンドポイント・セキュリティー・テクノロジーを組み合わせた統合セキュリティー・プラットフォームです。
繰り返しになりますが、EPPテクノロジーは主に、既知の脅威または既知の方法で動作する脅威をエンドポイントで防ぐことに重点を置いています。EDRには、従来のエンドポイント・セキュリティー・テクノロジーをすり抜ける未知の脅威または潜在的な脅威を特定して封じ込める機能があります。それにもかかわらず、多くのEPPは、高度な脅威検知分析やユーザー行動分析などのEDR機能を組み込むように進化してきました。
EDRと同様に、 XDR(拡張検出および対応)とMDR(管理検出および対応)は、分析とAI駆動型エンタープライズ脅威検知ソリューションです。これらは、EDRとは提供する保護の範囲と提供方法が異なります。
XDRは、エンドポイントばかりではなく、ネットワークやEメール、アプリケーション、クラウド・ワークロードなど、組織のハイブリッド・インフラストラクチャー全体にセキュリティー・ツールを統合します。これにより、これらのツールが相互運用され、サイバー脅威の防止・検知・対応において連携できるようになります。EDRと同様に、XDRはSIEM、SOAR、その他のエンタープライズ・サイバーセキュリティー技術を統合します。XDRはまだ発展途上ですが、急速に進化しているテクノロジーであり、セキュリティー・コントロール・ポイント、テレメトリー、分析、運用を単一の中央エンタープライズシステムに統合することで、圧倒的なセキュリティー・オペレーション・センター(SOC)の効率と効果を大幅に向上させる可能性があります。
MDR は、組織自身のサイバーセキュリティー運用をすり抜ける脅威から組織を保護するアウトソーシングされたサイバーセキュリティー・サービスです。MDRプロバイダーは通常、クラウド・ベースのEDRまたはXDRテクノロジーを使用してリモートで作業する高度なスキルを持つセキュリティー・アナリストのチームによる24時間365日の脅威の監視・検知・修復サービスを提供します。MDRは、スタッフの能力を超えたセキュリティーの専門知識や、予算を超えたセキュリティー技術を必要とする組織にとって魅力的なソリューションとなり得ます。