EDRソリューションを推進する開発パートナー選びのポイント
「EDR」というIT用語を聞いたことがありますか? EDR(Endpoint Detection and Response)は、ユーザーが利用するパソコン・タブレット端末やサーバー機本体に不審な動きを検知して、迅速な対応を支援するソリューションです。
たとえば、パソコン・タブレット端末やサーバー機本体の稼働状況・通信内容を監視します。
イレギュラーな動作・不審な動きを察知すると管理者に通知します。
管理者は通知を受け、EDRから提供された不審情報を基にして、該当のパソコン・タブレット端末や通信の状況のログ(Log:コンピューターの利用状況を記録したファイル・利用履歴データのことを示します。)を解析して不審物を除去します。
「EDR」が注目されるバックグラウンドに、従来のセキュリティー・ソリューションではサイバー攻撃をシャットアウトできない状況があります。
サイバー攻撃をシャットアウトすることに限定せず、イントラネット環境内に不審者の侵入されたケースを想定して、迅速な対応で被害の最小限に抑えることを目的とした「EDR」が注視されています。
目次
1.EDRとは何か?
「EDR」は、エンドポイント(ネットワークに接続されたパソコン・タブレット端末・スマートフォンなどのネットワーク端末(始終点)の総称です。)での検出と対応することです。
英語表記はEndpoint Detection and Responseで、頭文字3文字から「EDR」の略称になりました。
「EDR」は、プラットフォーム環境においてエンドポイントの監視を強化するために構築された技術です。
標的型攻撃・ランサムウェア等のサイバー攻撃を検出して対応するために活用するエンドポイント・セキュリティ・ソリューションのことです。
2.EDRの仕組み
「EDR」は、エンドポイント(ネットワークに接続している端末の総称)上でマルウェア(悪意のあるソフトウェアの総称です。)・ランサムウェア(悪質な身代金要求型不正プログラムのことです。)による不審な動きがないかどうか、常時監視を行います。
そのために、監視対象のエンドポイントに専用のエージェント・ソフトウェア(指令したルールに基づき自立的に自分自身(イントラネット環境)の動作を決定できるソフトウェアのことです。)を導入して、常時ログを取得します。
このログをサーバー機上に集めて、まとめて分析処理が実行されます。
この分析したときに不審な動きや痕跡を察知すると、すぐに管理者に通知します。
不審な通知を受け取った管理者は、「EDR」の管理画面でログの内容を精査します。
不審な動きの根本原因と影響範囲を精査して、適宜な対応をします。
「EDR」は、この事象の対応を迅速・効率的に行うように、ログを多角的に可視化する機能を提供します。
3.EDRで得られる効果
最近のサイバー攻撃の極めて高度化・巧妙化しています。
マルウェアの侵入・感染をシャットアウトすることは厳しい状況です。
そのため、マルウェアの侵入をシャットアウトする対策に限定せず、侵入したときに備えた察知機能・不正処理を排除する対策が不可欠です。
企業・団体は「EDR」の機能を運用させて、イントラネット環境に侵入したマルウェアが悪質な動作をする前に、マルウェアを早期に察知して除去します。
さらに「EDR」の可視化機能を利用して、侵入・感染の原因と影響範囲を多角的に把握できます。
事後処理を迅速・効率的に行えます。
4.組織にEDRソリューションが必要な理由
エンドポイントは攻撃者・不正侵入者が活動する始終端です。
「EDRソリューション」導入により、攻撃者・不正侵入の状況を一部始終、直接観察することが可能になります。
「EDRソリューション」は、エンドポイントおよびサーバー機本体への多角的な可視化の仕組みを提供して、悪意のある活動を示す異常な動きを察知して検出します。
「EDRソリューション」を活用することで、エンドポイントの活動を継続的に監視と分析を実行します。
「EDRソリューション」は、市販のセキュリティー対策アプリケーションをすり抜けた攻撃・不正侵入に対する察知と通知が可能になります。
5.EDR製品の比較選定ポイント
ITベンダー企業・大手電機メーカー各社は「EDR」製品が市場に投入しています。
企業・団体はサイバー攻撃・不正アクセス・情報漏洩などのセキュリティー対策を強化しています。
残念ながら「EDR製品」は防御策の完璧化には至っていません。
これから「EDRソリューション」導入の検討するときの選定ポイントを紹介していきます。
第1に「不正な動きを察知する機能が備わっているか?」です。
今までに経験したことがないマルウェア・ファイルレス攻撃など最新の攻撃を察知するスペックを事前確認しておきましょう。
また、複数のエンドポイント間で「EDRソリューション」機能が相互に関連付け合うことで、高精度な攻撃察知が可能になることが重要なポイントです。
第2に「不正な動きを調査支援する機能は十分か?」です。
不正な動きを察知したときは、原因・感染経路・影響範囲を調査します。
高機能の「EDRソリューション」は、調査動作を自動化・効率化できる機能が完備されています。
たとえば、不正な動きをした遠隔地のエンドポイント端末を強制的にシャットダウンする機能があります。
効率的な調査・対応が可能になります。
第3に「EDRソリューション」を容易に展開できるか?」です。
「EDRソリューション」はエンドポイントに機能を実装することになります。
実装作業を容易に実施可能であることが重要な選定ポイントです。
利用者の通常業務に影響を与えず機能をエンドポイントに実装可能であるか否かを事前に確認しておきましょう。
第4に「現行の既存システム環境に与える影響があるかどうか?」です。
「EDRソリューション」の製品によっては、既存システムに高位な負荷を掛けるケースがあります。
「EDRソリューション」を導入したことで、文書のOPEN/CLOSEに掛かる時間が倍になるようでは、本来業務に大きな影響を与えます。
事前に実環境上でトライアル版・テスト版など訴仮運用させて検証・評価しておきましょう。
第5に「エンドポイントが不正な動きをしたとき、サーバー機本体の状況を確認できるか?」です。
「EDRソリューション」はエンドポイントのログをサーバー機本体に集積して、分析をすることで攻撃を察知します。
分析するサーバー機本体のスペックで攻撃の察知精度に差違が生じるようです。
既存システムの安定性を重視する観点から、ハイスペックのサーバー機本体により、攻撃の察知精度とシステムの安定性が大きく左右されます。
高度な分析処理を完備した「EDRソリューション」を選定しましょう。
6.EDRと次世代アンチウイルス(NGAV)との違い
企業・団体に限らず個人利用者は、コンピューター・ウイルスやマルウェアへの対策のためにアンチウイルスのアプリケーションを導入して、エンドポイントを保護して対応していました。
アンチウイルスのアプリケーションソフトウェアは、不審なプログラムを検出・拡散の阻止・セキュリティー担当者に通知するように開発されています。
近年のサイバー攻撃の脅威は高度になり、企業・団体及び個人利用者のアンチウイルスの防御壁を危うい状況まで接近しています。
そのため、セキュリティー対策のITベンダー企業は、次世代アンチウイルス(NGAV:Next Generation Antivirus)を開発しましたが、これから紹介する事象が改善されていません。
第1にNGAV(次世代アンチウイルス)製品は、不審な動きに関連する特定のファイル属性だけを察知させていることです。
第2にNGAVの多くは、一度に1台のエンドポイント対応に限定されます。
複数のエンドポイントからの不審な動きを同時に関連付けることができません。
1台のエンドポイントで発生している事象しか知ることができない仕組みになっています。
第3にNGAVはサイバー攻撃の防御が基本になっているので、サイバー攻撃以外の不審な動きが生じても対処できない仕組みになっています。
しかし、「EDRソリューション」はエンドポイントの可視性が強化され、単純なマルウェアのインジェクション(データベース・プログラムの脆弱性を利用した、サイバー攻撃や不正アクセスの総称です。)を超えて進化しています。
NGAV(次世代アンチウイルス)では捕捉不可とされた不審な動きを察知できるようになりました。
7.EDRソリューションを推進する開発パートナー選びのポイント
「EDRソリューション」は、企業・団体がすでに導入しているセキュリティーシステムのITベンダー企業が提供するEDR製品・サービスに、エンドポイント(始終端)にプラグインイン経由で導入すると負担が軽減されます。
また、新たに「EDRソリューション」を含めたセキュリティー・プラットフォームを導入するケースは、エンドポイント・管理用パソコンに製品をインストールする必要があるので、エンドポイント数が大きなイントラネット環境では負担増になります。
すでに開発パートナー企業経由で導入したセキュリティーシステムにプラグイン経由で導入する設定方法をおすすめします。
開発パートナー企業とイントラネット環境・エンドポイントの負荷を最小限することを前提にすすめていきましょう。
まとめ
「EDRソリューション」は企業・団体が導入するパッケージ・アプリケーションに組み込まれた製品が市場に投入されています。
「EDRソリューション」機能があることで、安心安全の営業活動・業務運営が可能になります。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。
