導入後のこと考えています？ 中堅・中小企業に合ったEDRの選び方

サイバー攻撃が激化する今、攻撃に遭っても被害を最小限に抑えて迅速に復旧するためにEDR製品の導入は必要不可欠だ。本稿は予算やリソースに限りがある中堅・中小企業にお薦めなEDR製品のポイントや運用後に注意すべき点を解説する。

[斎藤公二，キーマンズネット]

　EDR（Endpoint Detection and Response）製品への注目が高まっている。EDRはPCやタブレット、スマホなどのエンドポイントで、サイバー攻撃をはじめとした脅威を検知、無効化し、侵害の影響を最小限にとどめるための製品だ。

　EDRはこれまで、従業員規模が1000人を超える企業や、サイバー攻撃の標的になりやすい政府や自治体、医療機関、金融機関、社会インフラ企業などで導入されていた。適切な運用にはそれなりのリソースや経験・ノウハウ、セキュリティ体制が求められるためだ。

　だが近年、EDRを中堅・中小企業で活用する動きが進んでいる。背景にあるのは、ランサムウェア攻撃に代表されるサイバー攻撃の急増だ。企業の規模や業種にかかわらず被害を受けるようになり、中堅・中小企業においても大企業や自治体、社会インフラ企業などと同等レベルの対策が求められるようになった。

　では、中堅・中小企業はどのようなEDR製品をどう選定していけばいいのか。SOCでEDR製品を活用したインシデントレスポンスを日々実践している専門家に話を聞いた。

EDRが注目を集める背景　アンチウイルス製品とは何が違うのか？

　中堅・中小企業におけるセキュリティ対策は、ファイアウォールによるネットワーク境界での防御と、PCやタブレット、スマホなどにインストールしたアンチウイルス（AV）製品での対策が中心だ。ファイアウォールを越えて侵入してきた脅威に対しては、IPS/IDS（侵入検知システム）やUTM（統合脅威保護）で対応するケースが多い。

　しかし最近は、これらの対策だけでは脅威にほとんど対抗できなくなっているのが現状だ。大手企業向けにSOCサービスを展開しているセキュリティ企業ラックの木本悠佑氏（JSOC分析部　MEDRグループマネージャー）は、EDRが求められる理由について以下のように話す。

　「攻撃が高度化し、AVやUTMなどではマルウェアを検知できなくなっています。従来のAV製品の多くはパターンマッチングと呼ばれる方式を採用しています。これはあらかじめ既知の不正プログラムの特徴を登録したパターンでマルウェアかどうかを照合する仕組みです。しかし最近は新種のマルウェアが次々と登場し始めたことで、照合が追い付かなくなってきました。また、侵入すると素早くデータを暗号化するランサムウェアも増えており、IPSやUTMが検知したころにはすでに暗号化を止めることが困難になっています。そのため、社内ネットワークに侵入されることを前提に、侵入されたら素早く検知して脅威に対処するEDR製品が必要になってきたのです」（木本氏）

　EDRはそもそも従来のAV製品とは脅威検知のコンセプトが異なっている。具体的には、パターンマッチングではなく、攻撃者がやりがちな不審な挙動・行動を追跡し、その痕跡を見つけることで事後対処を実行する。事前に鉄壁の防御を張り巡らせるのは困難という前提で、事後対処を素早く実施して被害を最小限にとどめることを目指すというわけだ。

意外と大変なEDRの運用　中堅・中小企業の実態に即した製品を選ぼう

　木本氏によると、EDR製品は主に初めからEDRとして開発された製品と、従来のAVにマルウェア対策機能を拡張して提供される製品のパターンがあるという。

　EDRとして開発された製品は、脅威検知と対処に求められるさまざまな機能を実装し、大規模な環境に展開して運用できることが大きな特徴だ。その分、導入・構築のための予算が必要で、正しく機能させるために運用負担や運用コストも大きくなる傾向がある。

　「EDRはアラートやログを分析しながら、脅威を捕捉して対処していきます。情報システム部門でEDRを運用できる担当者がいることが望ましいですし、SOCなどを活用して専門家と協業しながら対処する体制も求められます」（木本氏）

　だが、リソースが限られた中堅・中小企業にとってこうした「本格的なEDR製品」は現実的ではない。導入しても運用できずに「EDRのアラート対処疲れ」に陥って、コスト負担だけが増加していくなど、本末転倒になりかねない。そのため、中堅・中小企業にとって費用面・管理面で導入しやすいのは、マルウェア対策の拡張機能として提供されるAVベンダーのEDR製品となる。

　「多くの中堅・中小企業は、AV製品をすでに導入していますし、ほとんどのAVベンダーは既存のマルウェア対策機能の拡張としてEDR機能を提供しています。中堅・中小企業にとっては、AVベンダーが提供するEDR機能を利用する方が現実的な選択となります」（木本氏）

　AVベンダーが提供するEDR製品の導入にかかる費用は、EDR専用製品と比べて相対的に低く、使い勝手も既存製品の延長線上にあるので習熟しやすいというメリットがある。例えば、何か異常を検知したときに発生するアラートは、既存製品と同じ画面上で見て対処できる場合が多い。脅威分析なども自動的にレポートを作成するなど、作業者が負担を感じにくいように作られている。

　「テレワークを導入している企業や、新しい働き方を実現するために新規デバイスの導入や既存環境の見直しを進めている企業は、それらの取り組みと合わせて予算を確保し、EDRの導入を検討するのが効率的です。具体的には、既存のファイアウォールやAV製品、UTMなどに加えて、テレワーク向けのアプリケーション管理や端末管理製品を導入し、それと合わせてEDR製品を検討します。自社の業務の在り方や従業員の働き方によって製品や機能を選択していけばよいでしょう」（木本氏）

購入を検討しているEDR製品は3つの要件を満たしているかどうかで考えよう

　木本氏によると、EDR製品を選定する際には3つの要件に注意すべきだという。1つ目は「ログの量と質」、2つ目は「インシデントレスポンス」、3つ目は「検知力」だ。

　1つ目の「ログの量と質」は、ログを使ってインシデント事後に脅威を追跡するのに十分な量と質（種類）が確保されているかどうかだ。木本氏は自身の経験を基に以下のように話す。

　「インシデント発生時にログがあるかどうかが正常に復旧できるかどうかの分かれ目になります。顧客の元に出向いてインシデント対応に当たる際に、EDRのログが足りず、脅威分析ができなかったことがあります。EDRは攻撃者の行動を過去にさかのぼって分析します。例えば、ランサムウェアでデータが暗号化された場合、暗号化された時点のログが残っていれば、脅威を迅速に特定できます」（木本氏）

　ログを「いつまで」「どの程度」取得するかは、データの重要度による。そのため「EDRを導入する際には、自社のどのデータを守るか優先度を付けておく」ことが重要になる。

　2つ目の「インシデントレスポンス」は脅威を検知し、特定した後に、脅威に対処するためにさらに深く端末を調査したり、ネットワークを遮断したりできるかどうかだ。

　「EDRは脅威を検知し、対処までを実行します。例えばどの端末で脅威が発生したかを特定したら、その端末をネットワークから除外したり、脅威が外部のサーバと通信したときにネットワークを遮断して通信を止めたりすることが必要です。その際にポイントになるのがネットワーク遮断機能です。もしEDR製品が検知だけで、ネットワーク遮断機能を提供していないなら、それは本来の意味でEDRとは呼べない製品でしょう」（木本氏）

　3つ目の「検知力」は、攻撃者の行動にフォーカスした検知ができるかどうかだ。

　「もしAVベンダーのEDR機能が、従来のパターンファイルに頼った検知だけなら注意が必要です。EDRでは攻撃者の行動を捉えることが重要です。例えば、ネットワーク内で感染を広げるラテラルムーブメント（水平展開）と呼ばれる行動や、『PowerShell』などのOS標準のスクリプト機能を悪用したファイルレス攻撃（マルウェア自体が存在しない攻撃）の症状を検知する必要があります。検知方法はベンダーによってさまざまですが、従来のパターンマッチングだけでなく、新しい検知方法を採用しているかどうかをチェックしてください」（木本氏）

　EDRは従来のAVからの発想の転換から生まれたものだ。従来のAVのままなら導入する必要はないだろう。

EDRは導入後のことも想定して選定しよう　考慮すべき要素とは？

　中堅・中小企業にとっては、EDR導入後の運用や効果検証なども大きな課題になる。それを踏まえて事前により詳細に確認しておきたい点もある。まず重要なのは「運用コスト」と「運用しやすさ」だ。

　「中堅・中小企業では、どうしても予算やリソースに限りがあります。EDRはAVよりも見ている範囲が広く深いため、誤検知や過検知も増えます。『誤検知や過検知が少ない』とうたっている製品もありますが、それでも多いと事前に覚悟した方がよいでしょう。大量の情報を管理画面上で分かりやすく整理してくれて、少ない人数でもきちんと運用できるかどうかは大きなポイントです」（木本氏）

　運用コストや負担軽減の点では「チューニング機能」や「ライセンス」にも注目しておきたい。

　「過検知や誤検知が増えるとチューニングが必要です。チューニング機能がない製品は選定せず、『検知の除外』など、細かいチューニングができるかどうかを確認してください。また、必要のない機能もセットで提供されその分、提供価格が高くなる場合もあります。必要な機能を必要なライセンスで効率よく利用できるかは確認してください。例えば、EDRとUSBメディア管理機能と脆弱（ぜいじゃく）性管理機能などがセットで利用するならよいですが、資産管理や端末管理機能は別にある場合は、EDR機能だけを低価格で提供しているライセンスを利用した方がよいでしょう」（木本氏）

　さらに「管理レポート」「サポート体制」も重要だ。マネージドセキュリティサービスを利用してEDRの運用をサポートしてもらう方法もある。EDRの監視機能をSOCといったマネージドサービスとセットでアウトソースする方法だ。その際には、報告書が見やすいかどうか、そのまま経営層に提出できるかどうか、分からない点を質問したら答えが迅速に返ってきそうかどうかまでを想定しておきたい。

　「EDRを自社だけで運用することは難しいケースが多いです。実際にインシデントが起こったときに運用の委託先が一緒に汗をかいて対応してくれるかどうかを見極めることが重要です。逆に危機管理の面からは、いざというときにEDRが機能しなかったという事態も想定し、対策を検討しておくことも求められます。そうした対応をしてくれる良いパートナーを見つけておくことも重要です」（木本氏）

　セキュリティ製品は、導入による直接的な収益向上が見込めないものだ。予算を確保し、導入効果を高めるためには「自分たちが守るものが何なのかをきちんと見定める」ことが重要になる。木本氏は「しばしばEDRの導入がゴールになっているケースが見受けられます。全ての端末をEDRで守れればもちろんそれは理想的ですが、現実的には難しい場合もあるので、情報を重要度で優先順位付け、取捨選択し、運用に掛かる費用をきちんと算出した上で必要なところから守っていくというアプローチで導入を進めてください」とアドバイスした。