侵入されることを前提とした対策

EDRは、次世代のエンドポイントセキュリティを実現するための製品のことを指します。エンドポイントとは、パソコンなどの端末のことです。これらを守るセキュリティ対策の新しい考え方が登場しています。

エンドポイントでのこれまでのセキュリティ対策は「侵入されないこと」を目指してきました。(Prevention:防止)

マルウェアの検知はシグネチャを作成して、それを用いて防御するというのが中心的な考え方でした。ですが、昨今ではツール等を用いることで、簡単に多種多様な亜種を作成することができるようになっており、マルウェアの検体をセキュリティベンダが入手することが難しくなっています。

そのため、検知率を100%にすることが極めて難しくなっており、マルウェアが検知製品をかいくぐり、エンドポイントが感染してしまう可能性は否定することができません。

残念ながら、「マルウェアに感染することが前提」であるという見地に立っての対策が必要になっています。

マルウェア感染の可能性がわずかでも残るのであれば、次に考慮すべきは、マルウェアに感染したのち、それに素早く気が付くこと、そしてエンドポイントで必要な対応を取ることです。

そこで必要となるのは、パソコン内部の情報(インストールされているアプリケーション、各種ログ、起動しているプロセスなど)を収集、見える化し、異常な振る舞いを見つけたり、マルウェアの調査や封じ込めを行う機能です。

これを実現するのがEDR製品というわけです。(Detection and Response:検知と対応)

https://www.cybereason.co.jp/blog/products/541/より

侵入されることを前提に、被害を最小限に食いとどめることを目指しています。

なお、EDR製品は従来のセキュリティ対策製品と競合するものではありません。補完関係にあるといえるでしょう。このため、各セキュリティベンダは従来の製品と組み合わせて使うことを前提にしています。

つまり、マルウェアの感染や侵入防止は従来の製品で、感染後の被害の拡散、情報流出の防止はEDRが対応する関係です。対応や復旧するために利用する製品であり、CSIRTにおけるインシデント対応に役立てることができます。




EDR製品が備える機能

アメリカの調査会社であるガートナーはEDR製品が備える4つの機能を定義しています。

  • セキュリティインシデントの検知(Detect security incidents.)
  • エンドポイントでのインシデントの封じ込め(Contain the incident at the endpoint.)
  • セキュリティインシデントの調査(Investigate security incidents.)
  • 感染前の状態への修復(Remediate endpoints to a preinfection state.)

出典:米ガートナーレポート 「Market Guide for Endpoint Detection and Response Solutions、」

※ガートナー自身の注釈によれば、EDR市場においてすべてのEDR製品が4つの機能を必ず持っているわけではないとしています。

セキュリティインシデントの検知は、パソコンを常時モニタリングし、その中で動いている各種アプリケーションの振る舞いなどからインシデントの有無を検知するものです。

エンドポイントでのインシデントの封じ込めは、マルウェア感染が疑われるパソコンに対して、システムの管理者が遠隔地から通信を遮断したり。不審なプロセスの実行を止めるなどのコントロールが可能であることを示しています。

セキュリティインシデントの調査は、EDR製品を考える上で最も重要と考えられます。記録されたログからインシデントの発生原因や影響範囲を調べる機能です。

感染したパソコンの通信先、どんなツールをダウンロードしたか、社内ネットワークに対してどのような調査活動を行っていたか、などについて調べます。

最後の感染前の状態への修復は、主にWindowsのシステム復元機能を用いて、感染前の状態への復元をsポートしたり、感染の原因となったファイルやレジストリを削除する機能です。

このように、EDR製品はただ攻撃の検知をするだけではなく、事後対応のための機能を多く持っているのです。