どうしても対策が後手に回るサイバー攻撃。脅威の浸入や行動を検知して対策につなげる「EDR」が注目を集めている。
インターネットにつながる、あらゆる企業がサイバー攻撃の対象になった。日々、攻撃の激しさは増し、対策はどうしても後手に回る。それどころか「そもそもどのような対策をしたらいいのか分からない」というのが実情だろう。
今、エンドポイントに入れたエージェントから収集した情報を基に、脅威の侵入、行動を検知しセキュリティを確保する「EDR(Endpoint Detection and Response)」が注目を集める。従来のマルウェア対策ソフトによる防御とは異なる効果が得られるのだろうか。
まずは、企業がおかれている「現状」を整理しよう。カスペルスキーが2017年に調査したところ、過去12カ月間にセキュリティインシデントを体験した組織は増加の一途をたどる。
特に大企業における「ウイルス、マルウェア感染」は前年比15%増、「標的型攻撃」も前年比11%増と大きな伸びが確認できる。この割合は日本でも高く、サイバー攻撃が身近なものであることが分かる。
一般的に、マルウェア感染や標的型攻撃は、侵入されても即座に検知できれば、被害は最小限で食い止められる。カスペルスキーの調査でも、インシデントの認識から復旧までに要した総費用は、検知に時間がかかるほど多額になる。特に企業規模が大きいほど顕著で、検知するスピードこそが復旧対策の総コストを決定付けるといえる。
しかし、「即座に検知」こそが難しい。特に標的型攻撃で使われるマルウェアは、特定企業を狙うためにカスタマイズしたり、サンドボックスを回避したりするような技術が加えられる。また、ファイルレスでメモリ内にしか展開しないような発見が難しいものも登場した。半数以上の企業で、重大な攻撃が数週間から1年以上も発見できずにいる。
今回のセキュリティ強化塾では、EDRが検知の課題を解決する救世主として活用できるのか、少し掘り下げてみよう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。