メディア

「EDR」導入の前に知っておくべきことセキュリティ強化塾(3/4 ページ)

» 2018年06月19日 10時00分 公開
[キーマンズネット]

課題は「検知」と「インテリジェンスの活用」

 先に挙げたように、昨今のサイバー攻撃は検知こそが重要で、もっとも難しいポイントだ。なぜならば、攻撃者は「どうしたら検知されなくなるか」を考え、あの手この手で攻めてくるわけだ。

 EDRの検知手法では、普段の業務プロセスでは行われないような挙動を検知したり、マルウェアしか利用しないようなAPIを検知したりといった、振る舞いを基に判断するロジックが活用される。

 例えば、標的型攻撃では、単一のマルウェアで全てを実行しない。まず、攻撃の準備として情報を収集し、メールやWebサイトからの「初期侵入」を行う。初期侵入が成功すれば、企業内のネットワークで静かに感染を広げながら外部からの指令を待ち、情報を盗み出したり、内部破壊を行ったりといった最終目的を実行する。特に情報を盗み出す場合は、その痕跡もきれいに消して発覚を遅らせようとする。

 防御側は、「準備」「初期侵入」「指令」「活動」のどこかのステップで異常を検知する必要がある。EDRはデバイス単体ではなく、システム全体で検知を行い、「何らかのおかしな動きの兆候」をつかむ。これがEDRの有用性だ。

EDRは攻撃の全ての局面で異常を検知し、被害を防ぐ 図2 EDRは攻撃の全ての局面で異常を検知し、被害を防ぐ(出典:カスペルスキー)

 ところで、「何かの兆候がつかめたが、これが何だか分からない」ということではEDRを導入する意味がない。例えば、あるPCで、普段実行されないプロセスが動いたことが検知でき、それを止めたとしよう。だが、一体どのような攻撃なのか、他のPCでも同様のことが発生する可能性があるのかが分からなければ、サイバー攻撃対策としては不十分だ。

 EDRを提供するベンダーの多くは、検知機能だけでなく「インテリジェンス」の提供も行う。各社が運用するセキュリティオペレーションセンター(SOC)が日々ネットワーク上の脅威を研究し、世界中で行われている攻撃の解析結果を分かりやすいレポートとして提供するサービスだ。

 「解析」が加わることで検知した兆候がもたらす影響を正しく判断し、しっかりとした対策が行える。EDR導入を成功させるには、単にツールを導入しただけでは不十分だ。インテリジェンスを活用できる体制を作ること、つまり、情報セキュリティ人材を適切に育成し、情報を活用するプロセスを保持することが重要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。