サイバー攻撃への対応を限られた人員で行うために
ぜひお薦めしたい「EDR+MDR」の活用

サイバー攻撃への対応を限られた人員で行うためにぜひお薦めしたい「EDR+MDR」の活用

従来型のアンチウィルスに取って代わり
エンドポイント防御・対策の主流になったEDR

近年のサイバー攻撃は高度化・巧妙化しており、マルウェアの侵入を完全に防ぐことは不可能だといわれています。このような指摘は決して最近になって出てきたものではありません。すでに2014年には、アンチウィルスソフト大手であるSymantec社の上級副社長だったブライアン・ダイ(Brian Dye)氏が、「The Wall Street Journal」において「アンチウィルスは死んだ(Antivirus is dead)」と発言しています※1

もちろんダイ氏が「死んだ」と指摘しているのは、シグネチャファイルに依存した「従来型のアンチウィルス」です。すでに当時から、シグネチャファイルに含まれていない「ゼロデイ」型のマルウェアが登場しており、これを悪用した標的型攻撃も始まっていました。その1つとして多くのIT関係者が記憶しているのが、2015年に発生したAdobe Flash Playerの脆弱性を突くゼロデイ攻撃ではないでしょうか。これがWeb業界におけるAdobe Flash Player離れを引き起こし、2020年末にはそのサポートも完全に終了することになりました。従来型アンチウィルスでは対応できなかったゼロデイ攻撃が、当時最も人気の高かった製品の1つを死に追いやったのです。

このような従来型のアンチウィルスに取って代わり、主流になりつつあるのが「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションです。EDRとは、PCやスマートフォン、タブレット、サーバーなどの「エンドポイント」の監視を行ない、不審な動きを見つけ出すことで、サイバー攻撃の発見・対処を行うというもの。その代表的な製品としては、VMware社が提供する「VMware Carbon Black」が挙げられます。

EDRのコンセプトは米Gartner社が2013年に提唱したものであり、「マルウェアや攻撃の侵入は防げない」という前提に立っています。つまり「侵入されることを前提に」検出・対応するというのが基本的な考え方なのです。またマルウェアのファイルパターン(シグネチャ)でマルウェアを検出するのではなく、その動きで検出を行う点も大きな特徴です。そのためシグネチャファイルに登録されていないゼロデイ型マルウェアも検出でき、マルウェアファイルを使用しない「ファイルレス攻撃」にも対応可能です。

脚注
※1 https://www.wsj.com/articles/symantec-develops-new-attack-on-cyberhacking-1399249948?tesla=y

高度な知識が必要となるEDRの使いこなし
これをフルサポートサービスで補完するのがMDR

EDRに対する認知度は日本でも着実に向上しており、導入企業も増えています。独立行政法人 情報処理推進機構(IPA)も、2020年6月に公開した「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版」において、多層防御の一環としてEDRソフトウェアの導入を推奨しています※2

しかしEDRを導入するだけでは十分ではありません。EDRの脅威検知機能をうまく活用するには、セキュリティに関する高いスキルとノウハウが必要になるからです。また脅威を確実に検出できたとしても、それだけでは不十分です。脅威検出はセキュリティ対策の第一歩に過ぎず、検出された脅威の無力化や正常な状態への復旧、感染拡大の防止、侵入経路などの分析、再発防止に向けた防御対策の立案まで行うことで、はじめて実効力のあるセキュリティ対策になるのです。

しかし多くの企業にとって、これらを自社だけで行うのは簡単ではありません。セキュリティに関する高度な知見や、実践的なノウハウを持つ人材の確保が難しいからです。そこで登場したのが「MDR(Managed Detection and Response)」と呼ばれるサービスです。

これは、すでに侵入した脅威をいち早く発見すると共に、それに対して迅速な対応を取るためのマネージドサービスです。MDRという言葉は2017年に米Gartner社が自社イベントで言及したといわれており、その翌年に発表された「2018年のセキュリティ・プロジェクトのトップ10」にも、項番6の「検知/対応」の項目に記載されています。

EDRに比べればまだ歴史の浅いキーワードですが、すでに日本国内でもMDRサービスを活用する事例が続々と登場しています。その1つが、プラスチック成形品取出ロボットのリーディングカンパニーである、株式会社ユーシン精機様の事例です。

同社は自社のみならず、海外の現地法人までカバーしたエンドポイントセキュリティ強化をなるべく少ない工数で実施する方法を検討していました。この問題を解決するため、VMware社が提供する「VMware Carbon Black Cloud Endpoint Standard」の導入と合わせ、EDRのアラートを24時間365日で受け付け、その分析や脅威の隔離、脅威の除去、回復や再発防止支援まで行うMDRサービスを契約。これによって運用負荷を増やすことなく、グループ全体のセキュリティ状況の可視化や、「何が起きても確実に止められる」という自信が持てる防御態勢を確立しているのです。なおこの事例の詳細は、以下のURLで紹介しています。こちらもぜひご参照ください。

ユーシン精機様事例

脚注
※2 https://www.ipa.go.jp/files/000072309.pdf

サイバネットEDR相談窓口

EDRの必要性は理解しているが、「どう導入を進めてよいかわからない」、「自社で運用できるか不安といった声をお聞きします。サイバネットは、長年にわたるセキュリティ製品の取り扱いで培った豊富な実績のもと、EDRの導入支援にとどまらず、24時間365日組織内のネットワークを監視してもしもの際には、マルウェア感染端末の検知や特定、対処を行うセキュリティ監視・運用サービス(MDR)をはじめとしたSOCサービスなど、お客様の環境や予算に合わせた最適なセキュリティシステムのご相談窓口を用意しています。気軽にご相談ください。

EDR相談窓口


VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら

様々な企業が「VMware Carbon Black Cloud」を活用しています


株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現

スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択



HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点

NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた


ご相談、ご質問はこちら
お急ぎの場合はこちら
03-5297-3487
受付時間 平日9:00-17:00
※弊社特別休業日を除く
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  資料ダウンロード