EDRとは何か?仕組みや従来型ウイルス対策との違いをわかりやすく解説
2021年現在、コロナ禍によってリモートワークが推奨されるようになった今、セキュリティ対策の重要性がさらに高まっています。また、現在はクラウドサービスの普及によって、社内ネットワークと社外のネットワークを厳密に区別することが難しくなっています。そのため、従来のような攻撃を通さないことが前提のセキュリティでは、現在の働き方に合わなくなってきています。そこで必要になるのが、エンドポイントセキュリティです。エンドポイントセキュリティの一つであるEDRは、エンドポイントのデバイスを常時監視し、被害を最小限に食い止めるセキュリティ対策ツールです。その仕組みや既存のウイルス対策との違い、被害にあわない状態にしておくために必要な概念に関しても解説します。
EDRとは何か
EDRとは、「Endpoint Detection and Response」の頭文字で、「エンドポイントの検知と対応」を意味します。エンドポイントとは、サーバやPC、スマホやタブレットなど、ネットワークに接続された端末のことを指し、これらの操作や動作の監視と、迅速な対応を行うソフトウェアの総称が、EDRです。
セキュリティの分野でエンドポイントが注目されるようになった背景には、以下のような4つの要因があります。
クラウドシフト
営業支援ツールやデータベース、マーケティングオートメーション、表計算ソフト、プレゼンテーションツールなど、多くの業務システムがオンプレミス型ではなくクラウド型で提供されるようになってきており、それを使う企業や個人が増えています。このため、企業ネットワークを内部と外部とで明確に分けることが難しく、従来のような境界防御のアプローチだけでは不十分になっています。
リモートワークの推進
働き方改革などで数年前からリモートワークが推奨されていましたが、コロナ禍によって導入に拍車がかかりました。社員が外部から企業ネットワーク内のシステムにアクセスすることが一般的になると、境界の防御だけでは不十分になります。
標的型攻撃
狙いを定めた企業に攻撃をしかけ、情報漏えいを引き起こすものを標的型攻撃といいます。この標的型攻撃では、攻撃者はOSやアプリケーションの脆弱性を利用して、企業ネットワーク内に入り込みます。つまり、いくら境界防御を万全にしていても、社内のサーバやパソコンに脆弱性があると、攻撃を防ぐことはできません。
ランサムウェア
標的型攻撃のうち、システムファイルやデータファイルなどを暗号化して事業を停止させ、身代金を要求するタイプの攻撃をランサムウェアと呼びます。最近では、米国で石油パイプラインの会社がこの被害に遭い、ガソリン供給が滞ってしまい、大きなニュースにもなりました。実はこの数年で、複数の日本企業もこの攻撃の被害に遭っています。
こういった背景から、従来型の境界セキュリティでは不十分になっているのです。
一般的なEDRソリューションは、エンドポイントの動作状況をエージェントが収集して、リアルタイムで可視化することができ、不審な動きがあれば即座に対応することができます。EDRが備えている主な機能は、以下の4つです。
- 不審な動作の検知
- 他の端末に影響を及ぼさないように封じ込める
- 侵入ルートや影響範囲を調査する
- エンドポイントを復旧する
既存のウイルス対策との違い
標的型攻撃では、メールやファイルダウンロードなどの方法で、不正なソフトウェア(マルウェア)を社内ネットワークに入り込ませ、社内の端末にインストールして情報を抜き取ったり暗号化などの不正行為をしたりします。既存のウイルス対策でこれを防ぐのが難しいのには、2つ理由があります。
ゼロデイアタックに対処できない
既存のウイルス対策ソフトの場合、マルウェアが発見されると、それを基にシグネチャというワクチンのようなものを生成してデータベースに登録します。ネットワークの境界を越えて入ってこようとするデータをスキャンして、このシグネチャとマッチしたものはブロックするのが、ウイルス対策ソフトの基本動作です。
これは、既知のマルウェアには有効ですが、まだ発見されていない未知のマルウェアや、発見されたばかりでまだシグネチャがデータベースに登録されていない場合などは社内に入ってしまいます。こうした対策が行われる前の脆弱性を狙った攻撃がゼロデイアタックの特徴で、ウイルス対策ソフトでは防ぐのが難しいとされています。
社内ネットワークに侵入された後には何もできない
一般的なウイルス対策は、社内ネットワークに入る前に対策することが前提となっているソリューションにつき、前述のゼロディアタックのように何らかの理由で侵入してしまうと、その後にできることはありません。社内ネットワークに侵入したマルウェアは、その後、脆弱性のある端末を探し、そこに自身をインストールします。その後、外部からその端末を操作できるようにするための通信経路を構築したり、外部へのデータ送信、ファイルの暗号化などのコマンドを実行したりします。
この侵入後の動作に対応するものが、EDRです。
例えば、ソフトウェアインストールを許可していないはずの端末で何かインストールされている、通常は外部への通信がないはずの時間帯に大量のデータが流れているなどといった不審な挙動を検知し、インストールや外部への通信を止める対処を行います。
このように、現在の情報セキュリティでは、マルウェアを社内に侵入させないことと、侵入後の対処の両方が必要です。このため、EDRを選ぶ時には、ファイアウォールやウイルス対策などの既存のシステムと連携できるかどうかという観点が重要です。また、マルウェアのなかには自分の痕跡を消すコマンドを含むものもあるため端末の動作だけでなく、通信情報やログイン履歴、操作ファイル名、ログの削除履歴などの情報も収集できるものを選びましょう。
EDRだけでは不十分!? IT資産衛生管理(サイバー衛生管理)のすすめ
水際対策の境界防御と、侵入後の対応としてのEDRがあれば万全かというと、そういうわけではありません。なぜなら、もしサーバに脆弱性があるためにマルウェアに感染したのであれば、その脆弱性を排除しておかなければまた同じように被害に遭うからです。そこで、EDRにはIT資産のサイバー衛生管理(サイバーハイジーン)の機能を追加できるものがあります。衛生管理とは、以下のような機能のことです。
- 端末の管理(無許可の端末にはアクセス権限を与えない)
- ソフトウェアの管理(無許可のソフトウェアをインストールさせない)
- 端末のセキュリティ設定の管理(未設定の端末を放置しない)
- OSやアプリケーション、セキュリティパッチを最新の状態に保つ
これらは、システムとして導入することも重要ですが、個人のPCや無線LANアクセスポイントなど、許可のないものは使用しないと周知することも必要です。
まとめ EDRだけでは不十分、衛生管理も含めた全体管理を
日常的に業務で使うアプリケーションまでもがクラウドになり、さらにはコロナ禍でリモートワークが推奨されるようになりました。もはや従来型のウイルス対策では企業の情報システムのセキュリティは不十分になっています。また、自社のIT資産の現状を把握し、最新の状態を維持する平時の対策と、有事の際には被害を押さえ込んで迅速に復旧するEDRのような対策をセットで考えておくことが重要です。タニウムでは、未然対策としてのCDM(継続的診断および対策)と、事後対策としてのEDRを統一されたプラットフォームで提供しています。
