<div style="max-width:1082px;position:relative"><div style="padding-top:calc(133.33333333333334% + 58px)"></div>https://ameblo.jp/p/embed/yuriyasui/image-12691817124-14985915385.html</div>
企業に対するサイバー攻撃が高度化し、さらにリモートワーク(テレワーク)など、セキュリティ対策がより求められる状況で効果を発揮するのが、未知のウイルスを検知して対処するEDRです。本稿ではEDRの効果、機能、選定ポイント、代表的な製品を紹介していきます。
目次
EDRとは
EDRとはEndpoint Detection and Responseの略であり、パソコンやスマートフォンなどのエンドポイント端末を監視し、不審な挙動を検知して対処する機能を持った製品を指します。
EDRとEPPの違い
EDRと類似したエンドポイントのセキュリティ対策としてEPP(Endpoint Protection Platform)があります。EPPはウイルス対策ソフトウェアであり、パターンマッチング技術により既知の脅威の感染から守る(protect)ものです。
EDRは感染は防げない前提
EPP対してEDRは、感染を防げなかった未知の脅威に対処する製品となります。サイバー攻撃の手口が巧妙化しており完全に防ぐことが難しくなっているため、侵入されて感染することを前提にしたセキュリティ対策であるEDRの導入が重要となってきています。
不正な挙動や振る舞いを検知する
EDRは監視カメラのような役割を担い、未知のマルウェアの不正な挙動や振る舞いを検知することができます。検知したら、マルウェアが侵入した端末の一連の挙動をログに残すため、未知のマルウェアに対処するための情報を得ることができます。
EDRの効果
EDRの効果・メリットは次の4点にまとめることができます。
未知のマルウェアに対応できる
EDRは振る舞い検知や機械学習などの機能により、未知のマルウェアであっても素早く検知することができます。
被害を最小限にとどめる
EDRがマルウェアを検知したら、マルウェアに感染した端末やマルウェア自体を隔離する機能により、ネットワーク経由で感染が拡大することを封じ込めることができます。
侵入経路や被害の範囲を特定できる
EDRがマルウェアの行動を監視してログを残すため、侵入経路や被害の範囲を特定する手がかりを得ることができ、適切な対処に役立てることができます。
インシデントの説明責任を果たせる
ログからマルウェアの侵入経路や行動を追うことができるため、インシデント発生の原因を明確にすることができます。侵入経路が明らかになることで、恒久的な対策の検討ができるようになります。
EDRの主な機能と選定ポイント
EDRの主な機能と製品選定の際に比較するべきポイントを紹介します。
検知機能
EDRは振る舞い検知や機械学習などにより未知のマルウェアを検知しますが、ここで重要となるのが脅威インテリジェンスの活用です。脅威インテリジェンスとは、世界で拡がっているサイバー攻撃に関する特徴や攻撃シナリオなどの情報のことを指します。脅威インテリジェンスを活用する製品を選ぶことで、未知のマルウェアにより効果的に対処できるようになります。
解析機能
マルウェアを検知した際、そのすべての振る舞いを時系列で明らかにすることが重要です。解析すべき情報として、アカウントのログイン履歴、通信に関する情報、操作したファイル名やレジストリ、イベントログの削除履歴などがあり、これらがログとして保存されている必要があります。
インシデント対策
EDRがマルウェアを検知すると、そのマルウェアや感染した端末を隔離する機能があります。隔離する際に、調査に必要なログを残しつつ、ネットワークから切り離します。
隔離したのちに修復するため、危険なファイルの削除・移動、プロセスの現状表示と強制終了、レジストリの更新、再起動などを行ないますが、これらの操作をリモートから実施できるかどうか、自動で修復してくれるかを確認する必要があります。
管理画面
管理画面では、ログを解析・分析した結果などを確認することができます。マルウェアの振る舞いがGUIでグラフィカルに可視化されることで、調査と対処を適切に短時間で行うことができるようになります。さらに、マルウェアの侵入を検知した端末のみでなく、周囲の端末の同時間帯の同一ログを確認することができれば、影響範囲をより的確に把握することができます。
EDR製品比較
おすすめのEDR製品を紹介します。
Cybereason EDR
【特徴】
・AIを活用したリアルタイム検知と秒間800万回のビッグデータ解析
・国内外で高い評価を得て、第三者認証も受けており、国内シェアNo1
・管理画面が日本語に対応
イスラエル軍のサイバーセキュリティに携わったメンバーらにより開発されたソリューションです。世界中で10万件以上のサイバー攻撃を検知してきた実績があります。数万台のエンドポイント環境にも対応可能です。複数の端末に対して一度にワンクリックで隔離することができます。自動解析された結果が管理画面に時系列でグラフィカルに表示されるため、事象の全体像を即座に把握することができます。自動レポート生成機能もあります。
【提供会社】サイバーリーズン・ジャパン株式会社
【金額】お問い合わせ
【無料体験版】なし
Cisco AMP for Endpoints
【特徴】
・EPPとEDRの機能を兼ね備えている
・さまざまな業種の企業や教育機関、医療機関、自治体への導入実績
・リアルタイムの脅威インテリジェンスと動的マルウェア分析をベースに対応
感染したエンドポイントを1クリックで分離することができます。エージェントレス検出機能により、OSレベルでの侵害が発生する前にマルウェアを捕捉できます。既存のエンドポイントセキュリティ製品との共存も可能です。Webベースのコンソールで管理します。分析はクラウドで行われるため、ユーザへのパフォーマンスの影響は最小限に抑えられます。
【提供会社】シスコシステムズ合同会社
【金額】お問い合わせ
【無料体験版】あり(4週間)
MVISION EDR
【特徴】
・AIを活用した脅威調査
・機械学習とAIを活用した自動調査機能
・自動的にエビデンスの収集と分析を対応
AIを活用した調査機能があり、セキュリティ・インシデントの調査中によく問題になる疑問点に対して自動的に回答を提示してくれます。ワンクリックで1台のエンドポイントにも環境全体にも対応することできます。管理画面では挙動の関係性が視覚的に表示され、状況をすぐに把握することができます。
【提供会社】マカフィー株式会社
【金額】お問い合わせ
【無料体験版】なし
Sophos Central Intercept X
【特徴】
・マルウェア検出、エクスプロイト対策、ランサムウェア対策を統合
・高度な機械学習システムであるディープラーニングニューラルネットワークを活用
・国内外で高い評価を得て、AV-Comparativesでマルウェア検出率No1
毎日約40万件の未知のマルウェアを受信・処理しているSophosLabsがまとめた脅威インテリジェンスをオンデマンドで利用できます。管理画面で視覚的に状況を把握することができ、ワンクリックで脅威の除去と防御が可能です。
【提供会社】ソフォス株式会社
【金額】お問い合わせ
【無料体験版】あり(30日間)
Windows Defender Advanced Threat Protection (ATP)
【特徴】
・エージェントレスでクラウドで動作
・危険度が高いインシデントに対する自動的な調査
・2019年にGartnerによりリーダーの評価を獲得
まだ検知例のないポリモーフィック型やメタモーフィック型のマルウェアやファイルレスとファイル ベースの脅威に対して、次世代型の保護で防御することが可能です。自動的にアラートを調査し、複雑な脅威の修復をほんの数分で完了することができます。インシデントの経路・影響を180日前まで遡って調査することが可能です。クライアント機能はWindows10に標準搭載されています。
【提供会社】日本マイクロソフト株式会社
【金額】お問い合わせ
【無料体験版】あり
Trend Micro Endpoint Sensor
【特徴】
・EPPとEDRの機能を兼ね備えている
・ハイブリッドなAI技術により検出
・Gartnerにより16年連続リーダーの評価を獲得
Webレピュテーション、機械学習型検索、パターンマッチング、挙動監視、アプリケーションコントロールなどの多層化された検出技術が備わっています。トレンドマイクロ独自のSmart Protection Network(SPN)という脅威インテリジェンスとを活用します。機械学習型検索のモデルを管理サーバからエンドポイントに配布することで、インターネットに接続していない端末に対しても機械学習型検索が可能になります。
【提供会社】トレンドマイクロ株式会社
【金額】お問い合わせ
【無料体験版】なし
Symantec Endpoint Detection and Response
【特徴】
・AI主導型の検知エンジン
・世界最大規模の民間脅威分析ネットワークからのインテリジェンスを活用
・2019年にGartnerによりリーダーの評価を獲得
疑わしいファイルは自動的にサンドボックス処理されます。カスタム調査フローを作成することで、繰り返しの手動タスクを自動化することができます。デバイスの問題解決、修復、復旧をわずか数分で完了できます。
【提供会社】ブロードコム
【金額】お問い合わせ
【無料体験版】なし
CB Defense
【特徴】
・ストリーミングプリベンション機能による検出
・5,000社以上の顧客のエンドポイントからのログをベースにしたインテリジェンスを活用
・マルウェア検知率99.79%、誤検知率0%
クラウド上のビッグデータ解析の一つであるイベントストリーミング技術を利用して、エンドポイントのイベントログをクラウド上でリアルタイムに解析することができます。これにより、既知・未知を問わずマルウェア・ランサムウェア・ファイルレス攻撃を検知することができます。エンドポイントのクライアント機能のCPUおよびメモリの使用率は1%以下であり、負荷がかかりません。ダッシュボードにて視覚的にセキュリティ状況と課題が可視化されます。
【提供会社】サイバネットシステム株式会社
【金額】お問い合わせ
【無料体験版】あり(14日間)
まとめ
サイバー攻撃が巧妙化する中で、EDRを導入することにより未知の脅威を検知・解析し対処することで、被害を最小限にとどめることができるようになります。EDRの特徴や機能を把握した上で、自社の求める機能や運用負荷に合ったEDR製品を選定することをおすすめします。
IT業界の現場の真実 