EDRの必要性はどのくらい?ランサムウェア対策にもたらす効果なども解説!|サイバーセキュリティ.com

EDRの必要性はどのくらい?ランサムウェア対策にもたらす効果なども解説!



サイバー攻撃の巧妙さと脅威は年々高まりを見せ、アンチウイルスソフトでは十分な対策ができなくなっています。そこで近年端末上でのマルウェア検知に優れる「EDR」に注目が集まっています。

今回は、EDRの必要性や機能、EDR製品を選ぶ際のポイントを説明します。

EDRとは

EDR(Endpoint Detection and Response)とはネットワークのエンドポイントであるPCやサーバなどの端末で、ウイルスを発見・検知するシステムです。

EDRの必要性

EDRが必要な理由は、以下の3点です。

  • サイバー攻撃の増加
  • マルウェアの巧妙化
  • テレワーク普及によるサイバー攻撃リスクの増加

それぞれ順番に説明します。

増え続けるサイバー攻撃の脅威

サイバー攻撃の脅威は今もなお増加し続けています。「情報セキュリティ10大脅威 2022(組織)」の結果より、2021年度に被害が大きかった脅威を参考としてご覧ください。

1位:ランサムウェアによる被害
2位:標的型攻撃による機密情報の窃取
3位:サプライチェーンの弱点を悪用した攻撃
4位:テレワーク等のニューノーマルな働き方を狙った攻撃

参照:「情報セキュリティ10大脅威 2022」/情報処理推進機構セキュリティセンター

特にEDRは、ランサムウェアに対して有効なセキュリティ方法です。そのため今後も増加が見込まれるランサムウェアに対策するうえで、EDRの必要性はますます高まるでしょう。

巧妙化し続ける最新のマルウェアはアンチウイルスソフトをすり抜ける

アンチウイルスソフトに検知されないよう潜伏するといったように、最新のマルウェアは日々巧妙化しています。

アンチウイルスソフトのすり抜け手段として使われるのは、「ファイルレス攻撃」です。ファイルレス攻撃ではメモリ上で不正な操作が行われるため、調査対象がファイルであるアンチウイルスソフトでは検知できません。

一方でEDRでは不審な挙動を検知すると、スクリプトによる実行と動作を停止し、脅威の可能性を削除できるため、最新のマルウェア対策に必要な製品として注目されています。

テレワーク普及によってサイバー攻撃のリスク増加

コロナ禍によるテレワーク普及にともない、個人端末を業務利用する方も増えました。そのため企業が管理できない個人端末やVPN端末を狙ったサイバー攻撃に対処できず、情報漏洩やセキュリティリスクが増加傾向にあります。

EDRはテレワーク利用をしている個人端末にも導入できるため、エンドポイントの対策として必要性が高まっています。

EDRの機能5つ

EDRの機能には、「監視・ログ・検知・隔離・修復」の5つの機能があります。

監視

EDRは、マルウェアなどによる不審な動作がないかログを取得し、端末を常時監視します。ログ上に異常動作があった場合は管理者へすみやかに報告されます。

ログ

EDRは各端末操作のログを常時取得し、すべてのログを残します。EDRでは端末の不正利用を検知できるため、企業内部のコンプライアンス違反や、セキュリティ規則違反も同時に監視可能です。

検知

EDRには、マルウェアによる異常動作を検知できる機能があります。
マルウェアの侵入・感染後でもいち早く検知し、脅威を除去できます。

隔離

EDRには論理隔離機能があります。不審な動きが検知された端末は、インターネットやほかの端末への通信が制限されます。ほかの端末へのマルウェア侵入・感染を未然に防ぐ機能です。

修復

EDRにはレジストリ修復機能があります。マルウェアの侵入によりレジストリが破壊されると既存のレジストリとの整合性をチェックし、修復が試みられます。攻撃を受けた際、インシデントを早期に修復することで、被害の拡大と問題解決の長期化を防げます。

EDRを活用する事で得られるセキュリティ効果

ここからは、EDRを活用する事で得られるセキュリティ効果を紹介します。

不審な挙動がないか常にチェックできる

EDRを導入することで端末の挙動を常に監視でき、異常があれば端末をすみやかに隔離できます。

不審な挙動があった際に管理者へ通知

EDRが端末の不審な挙動を検知すると、管理者へ通知されます。
管理者はアラートによってすみやかな対応ができ、事態の早急な集束が可能です。

サイバー攻撃からの被害を最小限で防げる

EDRは端末に不審な挙動があった場合、サーバー管理者以外への通信を制限し、端末を隔離します。そのため他端末へのマルウェアの侵入・感染を阻止し、被害を最小限で防げます。

マルウェアに感染した後の対策が迅速に行える

EDRはマルウェアの感染が疑われる端末を隔離し、危険性の高いファイルを削除します。また管理者はリモート機能が使え、現場に出向かなくてもすぐに対応可能です。このような機能が備わっているため、EDRを活用すればマルウェア感染後の対応を迅速に行えます。

マルウェアなどの侵入経路・被害の範囲を特定できる

EDRでは端末を常に監視しログを取得しています。不審な挙動を検知した際、その端末でどんなプログラムがどこから侵入し、どのような処理を実行したのか、またどんな情報がどのような経路で外部に流出したのかなどが追跡できます。そのため被害の範囲を特定しやすく、迅速かつ適切な対処が可能です。

インシデント発生の原因を明確にできる

EDRは挙動を検知した端末を特定し、端末のログからどのような経路でどんなプログラムが実行されたのかを明確にします。その結果インシデント発生原因が明らかになり、封じ込めと無効化までの時間が大幅に短縮できます。

EDRを選ぶ際のポイント

ここからはEDR導入を検討している企業の皆さまに向けて、EDR製品を選ぶポイントを紹介します。

必要な機能が備わっているか

EDR製品を選定する際は、まず初めに自社に必要な機能が備わっているかを確認しましょう。未知のマルウェアにも対応可能な製品や、リアルタイムでの分析ができるものなど、さまざまなEDRが提供されています。最低限欲しい機能を列挙し、気になるEDR製品の機能をチェックするとよいでしょう。

ログデータの種類と保存場所の確認

EDRを選ぶ際には、「ログデータの種類」と「保存場所の確認」も行いましょう。
EDRのログデータには以下の2種類があります。

  • 常時記録方式:不審な挙動の有無に関わらず、すべての動作を記録
  • イベント記録方式:不審な挙動を検知した時にのみ動作を記録

イベント記録方式では過去にさかのぼって動作を調査できないため、常時記録方式のEDR製品を選ぶとよいでしょう。

またログの保存場所には以下の2種類があります。

  • 端末上:常に最新ログで調査・解析が可能だが、オフライン状態ではEDRが無効
  • 管理サーバー上:最新ログではないが、オフライン端末に対してもEDRが有効

端末上に保存できるタイプは、インターネット環境下であればログの保存が可能です。そのため端末貸与でインターネット環境が社員負担の企業では、端末での保存式の方がよいでしょう。

対応するシステム環境が合っているか

検討中のEDR製品がどのような端末環境で利用できるか、現状のシステム環境を整理しましょう。監視対象となる端末やソフトウェアのパフォーマンスに影響が出てしまっては元も子もありません。より多くの端末に対応し、かつ複雑に入り組んだOSやミドルウェアに対応したEDRを選ぶことがセキュリティの強化につながります。

使用しているのシステム、セキュリティソフトと連携ができるか

候補になっているEDR製品で、すでに使用しているシステムやセキュリティソフトと連携ができる製品があれば、その製品を選ぶとよいでしょう。既存システムとの相性がよい製品は導入と運用のハードルが下がるため、導入コストだけでなく運用コストも抑えられます。

導入する種類を確認(クラウド型・オンプレミス型)

EDR製品はさまざまな種類が提供されているため、導入する製品のタイプも選ぶ際の基準となります。EDR製品には、以下の2種類があります。

  • クラウド型:管理サーバーによって端末を集中管理する
  • オンプレミス型:社外に持ち出した端末はVPN接続で監視する

クラウド型は社外に持ち出した端末も常時監視できるのがメリットで、一方のオンプレミス型は完全オフライン端末でも監視できるメリットがあります。自社のセキュリティ環境等にあう方を選ぶとよいでしょう。

よくある質問

ここからは、EDR製品導入の際によくある質問を2つ紹介します。

Q1.おすすめのEDR製品を教えて下さい。

「Symantec Endpoint Security」と「Cybereason EDR」がおすすめです。
Symantec Endpoint Securityは、不審な挙動を検知した際に、端末隔離だけでなくファイルと挙動の隔離も可能な製品です。

またCybereason EDRはAIを活用したリアルタイム検知が可能で、イベント発生時には迅速な被害の拡大措置が可能です。

詳しくは『EDR 製品』にておすすめのEDR製品を紹介していますので、参考としてご覧ください。

Q2.EDRのデメリットを教えて下さい。

EDRのデメリットは、以下の2つです。

  • EDR単体ではウイルス侵入を阻止できない
  • 運用にリソースが必要

EDRは脅威検知と早期対応を支援するツールであり、脅威を防ぐ機能を持っていません。そのため、EDRの他に別途ウイルス侵入を阻止するツールを導入する必要があります。

またEDRの運用には、EDRを使いこなせるスタッフの確保も必要です。セキュリティ人材の確保や、EDR運用を外部委託にするためのコストもかかります。

まとめ

EDRとは、ウイルスソフトで防ぎきれないマルウェアが侵入・感染した際に端末上の不審な挙動を検知して被害を最小限に抑える解決策の1つです。

EDRの導入で、インシデントの発生原因・マルウェアの侵入経路・被害の特定を迅速に行え、被害を最小限に抑えられます。自社のシステム環境と照合し、より多くの端末が利用できるEDR製品を導入すれば、強固なセキュリティ環境を築けます。

巧妙化するサイバー攻撃対策として、EDR製品の導入を検討してはいかがでしょうか。


SNSでもご購読できます。