EDR(Endpoint Detection and Response)とは、ウイルス対策ソフトウェアや、エンドポイント(PC、スマートフォン、IoT機器など)向けセキュリティー・ツールが検知できないサイバー攻撃から、企業や組織内のユーザー、各種の端末やデバイス、データに代表される重要な資産を自動的に保護します。
EDRは、ネットワーク上に存在する全てのエンドポイントから、データを継続的に収集します。そして、収集したデータをリアルタイムで分析するとともに、既知または疑わしいサイバー脅威にさらされていると判定された場合は自動的に対応して、特定した脅威を未然に防いだり、脅威がもたらす被害を最小限に抑えます。
EDRソリューション導入検討ガイド
投資対効果が高いセキュリティー対策:オンライン・デモ相談会
2013年にGartnerが定義したEDRは、現在、多くの企業で導入されています。これには、十分な理由があります。
調査によると、実被害を受けたサイバー攻撃の9割とデータ侵害の7割は、エンドポイントのデバイスで発生しています。従来から提供されているウイルス対策、マルウェア対策、ファイアウォールなどのエンドポイント向けセキュリティー・ツールは時間の経過とともに進化しています。ただし、検知できるのは、エンドポイントに対する既知のファイル・ベースまたは署名ベースの脅威に限定されています。そのため、被害者をだまして機密データを漏えいさせたり、悪意のあるコードを含む偽のWebサイトにアクセスさせるフィッシング・メッセージなどのソーシャル・エンジニアリング攻撃を阻止する効果はかなり低くなります。(フィッシングはランサムウェアを配信する最も一般的な方法です。)また、コンピューターのメモリーでのみ動作するファイルレス・マルウェア攻撃(ファイルレス攻撃)の場合は、ファイルや署名のスキャンが回避されてしまうため、従来から提供されているエンドポイント向けセキュリティー・ツールは無力です。
最も重要なことは、上述したように、従来から提供されているエンドポイント向けセキュリティー・ツールでは、高度なサイバー攻撃を検知も無力化もできないことです。その結果、高度なサイバー脅威はネットワークに潜伏し、数カ月間動き回ってデータを収集してしまいます。そして、脆弱性を特定し、ランサムウェア攻撃、ゼロデイ攻撃(ゼロデイ・エクスプロイト)やその他の大規模なサイバー攻撃を開始する準備を整えてしまいます。
EDRは、従来のエンドポイント向けセキュリティー・ツールが除外してしまうものを捕捉します。多くの場合、EDRが提供する脅威検知、分析、自動応答といった機能は、深刻な被害が生じる前に、ネットワークの境界に侵入した潜在的な脅威を、人手を介すことなく特定して封じ込めます。
EDRソリューションは複数の企業が提供していますが、「エンドポイント・データの継続的な収集」「リアルタイムの分析と脅威の検知」「自動化された脅威への対応」「脅威の隔離と修復」「脅威ハンティングのサポート」という5つのコア機能が、通常は組み合わされています。
EDRは、ネットワーク上のすべてのエンドポイント・デバイスから、データ(プロセス、パフォーマンス、構成の変更、ネットワーク接続、ファイルとデータのダウンロードまたは転送、エンドユーザーまたはデバイスの動作に関するデータ)を継続的に収集します。収集したデータは、分析のために中央データベースまたはデータレイクに集積され、通常はクラウドでホストされます。
大半のEDRソリューションは、データを収集するために、すべてのエンドポイント・デバイスに軽量のエージェント(データ収集ツール)をインストールします。一方、EDRソリューションの中には、データ収集をエンドポイントのオペレーティング・システムの機能に依存するものもあります。
EDRは、高度な分析と機械学習アルゴリズムを使用して、既知の脅威や疑わしい活動が発生した時点で、その活動のパターンをリアルタイムで特定します。
一般に、EDRは2種類の指標(インジケーター)を探します。1つは、侵害指標(IoC:Indicator of Compromise)で、潜在的な攻撃や侵害と一致する行動またはイベントです。もう1つは、攻撃指標(IOA:Indicator of Attack)で、既知のサイバー脅威やサイバー犯罪者に関する行動やイベントです。
EDRはこれらの指標を特定するために、収集しているエンドポイントのデータと、新規および最新のサイバー脅威に関する継続的な更新情報(サイバー脅威が使用する戦術、悪用するエンドポイントまたはITインフラストラクチャーの脆弱性など)を提供する脅威インテリジェンス・サービスのデータをリアルタイムで関連付けます。脅威インテリジェンス・サービスには、EDRソリューション提供企業独自のもの、サード・パーティーが提供するもの、コミュニティーが主体となって提供するものがあります。さらに、EDRソリューションの多くは、データをMitre ATT&CKにマッピングしています。(Mitre ATT&CKとは、米国政府が資金提供している非営利組織Mitreが運営し自由にアクセスできる、サイバー脅威の戦術とテクニックに関するナレッジベースです。)
EDRの分析とアルゴリズムは、リアルタイムのデータを過去のデータや確立されたセキュリティー設定の基準値と比較して、疑わしい活動、エンドユーザーの異常な活動、サイバーセキュリティーのインシデントや脅威を示す可能性のあるものを特定します。また、「シグナル」または「正当な脅威」を、誤検知の「ノイズ」から分離できるため、セキュリティー担当者は重要なインシデントに集中できます。
多くの企業は、EDRとSIEM(セキュリティー情報とイベント管理)を統合しています。SIEMは、エンドポイントだけでなく、アプリケーション、データベース、Webブラウザー、ネットワーク機器など、ITインフラストラクチャーのすべての層にわたってセキュリティー関連の情報を収集します。SIEMのデータは、脅威の特定、優先順位付け、調査、修復のための追加のコンテキストによって、EDRの分析を強化できます。
EDRは、重要なデータと分析結果を、EDRソリューションのユーザー・インターフェース(UI)としても機能する単一の管理コンソールに集約します。セキュリティー・チームのメンバーは、管理コンソールから、企業全体のあらゆるエンドポイントとエンドポイント・セキュリティーの問題を完全に把握し、あらゆるエンドポイントに関する調査、脅威対応、修復を開始できます。
EDRは、高度な分析と機械学習アルゴリズムを使用して、既知の脅威や疑わしい活動が発生した時点で、その活動のパターンをリアルタイムで特定します。EDRは、自動化によって迅速な脅威対応を実現します。セキュリティー・チームが事前に設定した定義ルール、または、機械学習によって学習されたルールに基づいて、EDRは自動的に以下を実行します。
- 特定の脅威または疑わしい活動について、セキュリティー担当者に警告
- 重大度に応じて、アラートに対する行動順位または優先順位を決定
- インシデントまたは脅威によるネットワーク上の停止が発生した経緯を、根本原因まで遡って追跡する「トラックバック」ポートを作成
- エンドポイント・デバイスの切断、または、エンドユーザーのネットワークからのログオフ
- システムまたはエンドポイント・プロセスの停止
- エンドポイントにおける悪意のあるファイルや不審な電子メールの添付ファイルの実行を防止
EDRは、脅威の調査と修復活動を自動化できます(次章を参照)。また、SOAR(セキュリティー・プロセスの連携と自動化)システムと統合して、他のセキュリティー・ツールを含むセキュリティー対応プレイブック(インシデント対応手順)を自動化することも可能です。
このような自動化により、セキュリティー・チームはインシデントや脅威に迅速に対応し、ネットワークへの損害を最小限に抑制できます。また、セキュリティー・チームが、限られた要員で可能な限り効率的に作業することに役立ちます。
脅威が特定されると、EDRは、セキュリティー担当者が脅威をさらに調査するために使用できる機能を提供します。例えば、証拠を見つけるためのデータ解析を試みるフォレンジック分析は、セキュリティー担当者が脅威の根本原因を突き止め、影響を与えたさまざまなファイルを特定し、侵入した攻撃者のネットワーク内の移動、認証情報へのアクセス、その他の悪質な行為を行った脆弱性を特定できます。
この情報をもとに、セキュリティー担当者は、修復ツールを使用して脅威を排除できます。修復には以下が含まれる場合があります。
- 悪意のあるファイルを破壊して、エンドポイントから一掃
- 破損した構成、レジストリー設定、データ、アプリケーション・ファイルの復元
- アップデートまたはパッチの適用による脆弱性の排除
- 再発防止のための検出ルールの更新
脅威ハンティング(スレット・ハンティング)は、まだ知られていない脅威や、自動化されたサイバーセキュリティー・ツールがまだ検知または対処していない既知の脅威を、セキュリティー担当者がネットワークを検索して探す積極的なセキュリティー活動です。高度な脅威は、検知されるまで数カ月間潜伏して、大規模な侵害に向けてシステム情報やユーザー認証情報を収集している可能性があることを忘れないでください。効果的かつタイムリーな脅威ハンティングにより、高度な脅威の検知と修復にかかる時間を短縮し、攻撃による被害を抑制または防止できます。
脅威ハンターはさまざまな戦術と手法を使用しますが、大半は、EDRが脅威の検出、対応、修復に使用しているのと同じデータソース、分析、自動化機能に依存しています。例えば、脅威ハンティングの担当者は、フォレンジック分析、あるいは、特定の攻撃者の手法を記述したMitre ATT&CKに基づいて、特定のファイル、構成変更、その他の人為に基づく結果を検索したいと思うかもしれません。
脅威ハンティングをサポートするために、EDRは上述したような機能をUI駆動型またはプログラムで提供し、セキュリティー担当者がアドホックな検索データの照会、脅威インテリジェンスとの関連付け、その他の調査を実行できるようにします。
EPP(Endpoint Protection Platform)とは、次世代アンチウイルス(NGAV:Next Generation Anti-Virus)およびマルウェア対策ソフトウェアに、Webのアクセス制御やWebフィルタリングのためのソフトウェア、ファイアウォール、メール・ゲートウェイ、その他の従来型のエンドポイント向けセキュリティー技術を組み合わせた統合セキュリティー・プラットフォームです。
繰り返しになりますが、EPPは、既知の脅威、または既知の方法で動作する脅威を、エンドポイントで防止することに焦点を当てています。EDRは、従来のエンドポイント向けセキュリティー技術を突破してしまう未知の脅威や潜在的な脅威を特定して、封じ込める機能を提供します。とはいえ、多くのEPPは、高度な脅威の検知や分析、ユーザー行動分析といったEDRの機能を含むような形で進化しています。
XDR(Extended Detection and Response)とMDR(Managed Detection and Response)は、EDRと同様に分析とAI主導の企業向けの脅威検知ソリューションです。EDRとは、提供する保護の範囲と提供方法異なります。
XDRは、エンドポイントだけでなく、企業や組織のハイブリッドクラウド環境全体(ネットワーク、電子メール、アプリケーション、クラウド・ワークロードなど)にわたってセキュリティー・ツールを統合します。その結果、サイバー脅威の防止、検知、対応において、統合したセキュリティー・ツールの相互運用および連携できます。XDRは、EDRと同様に、SIEM、SOARおよびその他の企業向けサイバーセキュリティーの技術を統合します。XDRは、登場して間もないながら急速に進化している技術であり、セキュリティー管理ポイント、テレメトリー(遠隔監視)、分析、運用を、企業や組織における単一のエンタープライズ・システムに統合することで、負荷がかかりがちなセキュリティー・オペレーション・センター(SOC)の運用を効率的かつ効果的に変える可能性があります。
MDRは、運用しているサイバーセキュリティーが検知できない脅威から企業や組織を保護するための、サイバーセキュリティーに関するアウトソーシング・サービスです。通常、MDRサービスのプロバイダーは、高度なスキルを持つセキュリティー担当者のチームが、クラウド・ベースのEDRまたはXDRを用いて遠隔操作で脅威の監視、検知、修復を行うサービスを、24時間365日提供します。要員の能力を超えるセキュリティー専門知識や、予算を超えるセキュリティー技術を必要とする企業や組織にとって、MDRは魅力的なソリューションとなりえます。
AIを活用したエンドポイント・セキュリティーにより、ほぼリアルタイムで自動的に脅威を検出するとともに修復を支援します。
エンドポイント全体の脅威防御を高速化するためのAIを活用したマネージド型の予防、検出、対応サービスです。
先進のエンドポイント管理機能で、最新のサイバーセキュリティーの脅威からエンド・ユーザーとそのデバイスを保護します。
UEMソリューションの導入により、オープンクラウドのAIアプローチを採用して、あらゆるデバイスを保護・管理できます。
Network Detection and Response(NDR)ソリューションは、ネットワーク・アクティビティーをリアルタイムで分析することにより、セキュリティー・チームを支援します。
IAMソリューションであるIBM Security Verifyを使用することで、すべてのユーザーに適切なレベルのアクセスを提供します。
サイバー攻撃が発生した際に組織として一元的に対処できるように、インシデント対応のオーケストレーションを行います。
すべてのユーザー、すべてのデバイス、すべての接続に対応したセキュリティー・ソリューションをご覧ください。
重要なサイバーセキュリティーの脅威を検出、調査、対応するための一元化された可視性とインテリジェントなセキュリティー分析です。