銀行員からエンジニアへ転職し、現在は社内SEをしながらライター業に従事しています。
EDRとは「Endpoint Detection and Response」の略称であり、セキュリティ領域で重要な役割を果たすテクノロジーです。サイバー攻撃から身を守るためにも、従来のウイルス対策ソフトではなく、EDRを導入する企業が増えています。
しかし、導入をしたもののEDRを適切に運用できず、導入効果が得られていない企業も多いでしょう。
本記事では、実際に企業で運用する担当者の視点から、EDRの概要や日々モニタリングすべき項目を解説していきます。
目次
ウイルス対策ソフトの変化
従来のウイルス対策ソフトは「EPP(Endpoint Protection Platform)」が主流でした。EPPは、シグネチャベースの検出方法を使用して、既知のマルウェアやウイルスを特定して防御する方式です。
しかし、近年のサイバー攻撃は高度化し、新たな攻撃手法やゼロデイ攻撃が増加しています。こうした攻撃は、既知のシグネチャやパターンでは検出できないため、エンドポイント自体の挙動やアクションを監視する必要が生じました。
そこで登場したのが「EDR(Endpoint Detection and Response)」です。EDRはエンドポイントのセキュリティインシデントを検知し、迅速な対応と調査を可能にするための機能を提供します。具体的には、エンドポイント上での挙動分析やログ監視、不審なアクティビティの検知などの機能を備えています。それにより、既知の攻撃手法に限定されず、未知の攻撃やゼロデイ攻撃にも対応可能です。さらに、人工知能(AI)や機械学習(ML)などの先進的な技術も活用しているため、大量のデータをリアルタイムで分析し、新たな脅威を素早く識別できます。
EDRとEPPを組み合わせることで、今まで以上に強固なエンドポイントセキュリティを実現できるでしょう。
導入して終わりではないEDR
企業や組織がセキュリティ対策の一環としてEDRを導入することは重要ですが、それだけで安全性が保たれるわけではありません。日々発生するアラートへの対応や、セキュリティオペレーションセンター(SOC)サービスの活用など、さまざまな考慮事項が存在します。
たとえば、EDRが検知したアラートや警告に対して、そのアラートが本当に脅威であるのかを判断し、適切な対応をしていかなければなりません。検知されたものが必ずしも脅威でないケースも多いため、誤検知かどうかを判定するのは重要です。アラートを精査するためには、セキュリティに関する専門的な知識が求められます。しかし、IT人材が不足している昨今では、セキュリティに特化した人材を採用するのは難しいものです。
そこで、企業に専門家が不在の場合にはSOC(Security Operation Center)サービスの活用もオススメします。SOCは、専門のセキュリティアナリストがリアルタイムでEDRの監視をおこない、何らかの異常が発生したときには通知をしてくれます。サービスによっては、そのアラートが本当に脅威かどうかを調査してくれる場合があるため、企業内のリソースを消費せずにセキュリティを維持していけるでしょう。
EDRの導入はステップの一つであるため、企業内での運用やSOCを活用した運用を継続的に実施していく必要があります。セキュリティ人材が不足している企業は、SOCサービスを活用し、セキュリティを担保していくとよいでしょう。
EDR運用で日々モニタリングすべき項目
EDRを最大限活用するためには、日々のモニタリングが欠かせません。以下に、実際に筆者が日々モニタリングしている項目を記載しました。
- 社内のエンドポイントにEDRがインストールされているかの確認
- スキャンが実施されているか
- スキャン時のパターンファイルが最新であるか
- EDRのサービスがダウンしている端末はないか
- 検知したアラートが正しい検知かどうか
社内のエンドポイントにEDRがインストールされているかの確認
EDRは、当然ながらエンドポイントにインストールされていないと動作しません。 新たなデバイスが社内ネットワークに参加する場合、EDRのインストールが漏れるケースがあります。そのため、社内ネットワークへ参加しているデバイスにEDRがインストールされているかを定期的に確認しましょう。
わたしが働いている会社実際に弊社では、社内ネットワークへの参加までを情シスが担当し、その後のアプリケーションインストールなどをユーザーに任せています。しかし、定期的にEDRのインストール状況を確認すると、どうしてもユーザー側でインストールが漏れているケースがあります。EDRがインストールされていない場合、サイバー攻撃の被害を受けたとしても、他の端末に感染したタイミングでしか検知ができなくなってしまいます。幸いにも、弊社でセキュリティインシデントが発生したことはありませんが、未然に防ぐためにも、定期的に確認をしなければなりませんする必要があります。
定期的に確認をするときには、資産管理ツールの活用がオススメです。資産管理ツールであれば、デバイスにインストールされているアプリケーションを取得できるため、EDRの抜け漏れを検知できます。EDRのインストールは手動で実施するのではなく、Active Directoryのグループポリシーでインストールをするとよいでしょう。グループポリシーであれば、ドメインに参加したタイミングで、自動的にアプリケーションのインストールを実施できます。
スキャンが実施されているか
EDRには先述したEPPの機能も搭載されているため、定期的なスキャンで悪意のあるファイルを検出する必要があります。スキャンは、主にフルスキャンと簡易スキャンにわかれているケースが多く、フルスキャンはストレージ領域を全域チェックするため、多くのリソースが消費されます。一方で、簡易スキャンはメモリに読み取られているファイルのみをスキャンするため、動作に影響を及ぼしにくく、短時間で完了するのが特徴です。これらのスキャンが実施されているかを定期的に確認することで、既知のマルウェアを含むファイルの検出が可能となります。
わたしが働く会社弊社では、長期休暇に入るタイミングで、スキャンの実施に力を入れています。長期休暇中は、サイバー攻撃が活発化するタイミングのため、何らかの攻撃が加えられていないかを確認しなければなりません。そのため、日頃の実施に加えて、長期休暇前後の実施に力を入れるとよいでしょう。
スキャン時のパターンファイルが最新か
スキャンを実施するときには、シグネチャベースでの調査を実施していきます。シグネチャの情報が記載されているパターンファイルが、定期的に更新されています。基本は自動でアップデートされるものが多いですが、エンドポイントのネットワークの状況などによっては、アップデートがうまくいかないケースもあるでしょう。その場合には、エンドポイント側で手動アップデートを実施するなどの対応をするとうまくいくケースが多いです。
EDRのサービスがダウンしている端末はないか
EDRによっては、インストールをしていてもサービスが起動されていないケースもあります。サービスが起動されていない場合、正しいログが収集できずに、エンドポイントの挙動をうまく監視できない可能性があります。そのため、EDRの管理コンソール画面で、サービスの状況を監視していくのがオススメです。
わたしが管理弊社が利用するEDRでは、サービスステータスという項目が用意されており、Down状態になっているエンドポイントに何らかの対応をしなければなりません。基本はログをサポートに共有する必要があるため、効率的にログを収集できるバッチを作成し、サポートへの問い合わせを効率化しています。
検知したアラートが正しい検知かどうか
EDRは、異常な挙動や攻撃パターンを検知し、アラートを生成します。しかし、セキュリティポリシーの設定が厳しすぎる場合や、特定のアプリケーションやファイルの動作が誤って不審と判断されることがあります。特に、エクセルのマクロを利用する場合は、通常の業務で利用しているものでもアラートで検知してしまうケースがあるため、注意が必要です。弊社にはマクロを使った業務が多く存在します。社内で作成されたマクロだったとしても、EDRは危険だと判断してしまうため、アラートがあがってしまうのです。
対策としては、除外リストへの登録があげられます。エクセルのマクロを利用しているファイルやアプリケーションを除外リストに登録することで、検知されずに利用できるため、業務に大きな影響がでることを防げるでしょう。ほかには、EDRの検知ポリシーを緩めに設定するのも一つの手です。先述した除外リストを組み合わせることで、不要な検知や過検知を防止できます。
これらの項目を日々モニタリングすることで、EDRの効果的な運用とセキュリティの確保が可能となります。しかし、モニタリングには適切なリソースと専門知識が必要であり、人的・技術的な課題も存在します。継続的な学習と改善を通じて、EDR運用の品質向上に取り組むことが重要です。
エンドポイントのセキュリティを高めることが重要
本記事では、エンドポイントセキュリティの変化と重要性について考察しました。従来のエンドポイント保護では不十分となりつつあるため、EDRの導入が注目されています。しかし、EDRの導入だけではセキュリティが確保されるわけではありません。日々のモニタリング、適切なポリシー設定、アラートへの対応など、継続的な取り組みが求められます。
エンドポイントのセキュリティを高めることは、企業全体のセキュリティレベルの向上につながります。なぜなら、エンドポイントはサイバー攻撃の最初の標的となりやすく、一つの脆弱なポイントが全体のセキュリティを脅かす可能性があるためです。
セキュリティの脅威は常に進化していますが、エンドポイントのセキュリティに対する意識と対策を進化させることで、企業は安全性を維持し、持続的な成長とビジネスの繁栄を実現できるでしょう。エンドポイントセキュリティへの投資と取り組みを怠らず、セキュリティを組織の中心に据えることが重要です。
(文:長谷川 貴之)
