ぜひお薦めしたい「EDR+MDR」の活用
サイバー攻撃への対応を限られた人員で行うために
ぜひお薦めしたい「EDR+MDR」の活用
従来型のアンチウィルスに取って代わりエンドポイント防御・対策の主流になったEDR
近年のサイバー攻撃は高度化・巧妙化しており、マルウェアの侵入を完全に防ぐことは不可能だといわれています。このような指摘は決して最近になって出てきたものではありません。すでに2014年には、アンチウィルスソフト大手であるSymantec社の上級副社長だったブライアン・ダイ(Brian Dye)氏が、「The Wall Street Journal」において「アンチウィルスは死んだ(Antivirus is dead)」と発言しています※1。
もちろんダイ氏が「死んだ」と指摘しているのは、シグネチャファイルに依存した「従来型のアンチウィルス」です。すでに当時から、シグネチャファイルに含まれていない「ゼロデイ」型のマルウェアが登場しており、これを悪用した標的型攻撃も始まっていました。その1つとして多くのIT関係者が記憶しているのが、2015年に発生したAdobe Flash Playerの脆弱性を突くゼロデイ攻撃ではないでしょうか。これがWeb業界におけるAdobe Flash Player離れを引き起こし、2020年末にはそのサポートも完全に終了することになりました。従来型アンチウィルスでは対応できなかったゼロデイ攻撃が、当時最も人気の高かった製品の1つを死に追いやったのです。
このような従来型のアンチウィルスに取って代わり、主流になりつつあるのが「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションです。EDRとは、PCやスマートフォン、タブレット、サーバーなどの「エンドポイント」の監視を行ない、不審な動きを見つけ出すことで、サイバー攻撃の発見・対処を行うというもの。その代表的な製品としては、VMware社が提供する「VMware Carbon Black」が挙げられます。
EDRのコンセプトは米Gartner社が2013年に提唱したものであり、「マルウェアや攻撃の侵入は防げない」という前提に立っています。つまり「侵入されることを前提に」検出・対応するというのが基本的な考え方なのです。またマルウェアのファイルパターン(シグネチャ)でマルウェアを検出するのではなく、その動きで検出を行う点も大きな特徴です。そのためシグネチャファイルに登録されていないゼロデイ型マルウェアも検出でき、マルウェアファイルを使用しない「ファイルレス攻撃」にも対応可能です。
脚注
※1 https://www.wsj.com/articles/symantec-develops-new-attack-on-cyberhacking-1399249948?tesla=y
高度な知識が必要となるEDRの使いこなしこれをフルサポートサービスで補完するのがMDR
EDRに対する認知度は日本でも着実に向上しており、導入企業も増えています。独立行政法人 情報処理推進機構(IPA)も、2020年6月に公開した「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版」において、多層防御の一環としてEDRソフトウェアの導入を推奨しています※2。
しかしEDRを導入するだけでは十分ではありません。EDRの脅威検知機能をうまく活用するには、セキュリティに関する高いスキルとノウハウが必要になるからです。また脅威を確実に検出できたとしても、それだけでは不十分です。脅威検出はセキュリティ対策の第一歩に過ぎず、検出された脅威の無力化や正常な状態への復旧、感染拡大の防止、侵入経路などの分析、再発防止に向けた防御対策の立案まで行うことで、はじめて実効力のあるセキュリティ対策になるのです。
しかし多くの企業にとって、これらを自社だけで行うのは簡単ではありません。セキュリティに関する高度な知見や、実践的なノウハウを持つ人材の確保が難しいからです。そこで登場したのが「MDR(Managed Detection and Response)」と呼ばれるサービスです。
これは、すでに侵入した脅威をいち早く発見すると共に、それに対して迅速な対応を取るためのマネージドサービスです。MDRという言葉は2017年に米Gartner社が自社イベントで言及したといわれており、その翌年に発表された「2018年のセキュリティ・プロジェクトのトップ10」にも、項番6の「検知/対応」の項目に記載されています。
EDRに比べればまだ歴史の浅いキーワードですが、すでに日本国内でもMDRサービスを活用する事例が続々と登場しています。その1つが、プラスチック成形品取出ロボットのリーディングカンパニーである、株式会社ユーシン精機様の事例です。
同社は自社のみならず、海外の現地法人までカバーしたエンドポイントセキュリティ強化をなるべく少ない工数で実施する方法を検討していました。この問題を解決するため、VMware社が提供する「VMware Carbon Black Cloud Endpoint Standard」の導入と合わせ、EDRのアラートを24時間365日で受け付け、その分析や脅威の隔離、脅威の除去、回復や再発防止支援まで行うMDRサービスを契約。これによって運用負荷を増やすことなく、グループ全体のセキュリティ状況の可視化や、「何が起きても確実に止められる」という自信が持てる防御態勢を確立しているのです。なおこの事例の詳細は、以下のURLで紹介しています。こちらもぜひご参照ください。