Special Issue
侵入を前提に最善な対処を実現するセキュリティ対策、EDRを正しく理解せよ
2020/08/06 14:35
従来型のエンドポイントセキュリティ対策は、アンチウイルスをはじめとして、マルウェア対策、Webフィルタリング、暗号化、ファイアーウォールなど、ウイルスやマルウェアに“感染しないこと”を前提に行われていた。ところが脅威は進化し、もはや悪意のある攻撃の侵入を許すことを前提に考えなければならない状況になっている。そのためのサイバーセキュリティ対策のアプローチ(およびソフトウェア)が、EDRである。
EDRは、従来型の感染や侵入防止対策(EPP:Endpoint Protection Platform)を置き換えるものではない。エンドポイント監視、検知・アラート、解析・調査、インシデント対応などの機能を備えており、侵入された後いかに最小限で被害を食い止めるか、封じ込めと復旧の部分を担う。そのため、両製品を組み合わせて対策を行う必要があり、市場の製品にはすでにEPPとEDRを兼ね備えたものも多い。
現在企業がEDRを導入すべき理由は2つある。まずは新型コロナウイルス感染症防止対策に伴う急速な働き方改革の普及で、社内イントラネットの入口を守る境界防御型セキュリティ対策では不十分であること。リモートワークによって、社内ネットワーク外に広がる外部のPCはリスクにさらされている。
もうひとつは、マルウェアを使用せずに、OSの標準的な機能を乗っ取って攻撃を行う「非マルウェア攻撃(ハイジャック攻撃)」が増えたことである。それらには、ウイルスやマルウェアを対象にするパターンマッチングによる対策では意味をなさないため、別の対策が必要になる。
EDRの運用にあたっては、早期発見と対処が重要になる中で、分析や対策実施の部分で専門性が求められる。そこで人材育成や製品活用のノウハウを習得することを考えると、現状では中小企業での活用はアウトソーシングが有効と考えられる。
導入コストがかさむという問題はあるものの、取引先や関連企業を足掛かりにする「サプライチェーン攻撃」で狙われるのは、脆弱な中小企業である。企業の規模を問わず、対策は必須なのである。
対策の自動化、機能の高度化などEDRにはまだ進化の余地はある。市場を制する圧倒的な製品・サービスも登場していない。ユーザーとしてみればなかなか製品を選びづらい状況ではあるが、売り手の立場からすると販売先やサービスの市場があるということだ。これからもリモートワークが進む中、販社はノートPCやテレワーク商材を販売する際に、EDR導入の必要性を説くべきである。
- 1
関連記事
大塚商会、EDR機能と運用代行を提供する「らくらくEDR」サービス
外部リンク
レノボ・ジャパン=https://www.lenovo.com/jp/ja/
「ニュースコンテンツ改善・強化のためのアンケート」=https://www.seminar-reg.jp/bcn/survey_news/