エンドポイントセキュリティ領域のテクノロジーは統合が図られつつありますが、依然として大きく2つのカテゴリに分類することができます。EPP(エンドポイント保護プラットフォーム)と、EDR(エンドポイントにおける検知と対応ソリューション)です。
ほとんどのITセキュリティ専門家にとって、この2つの対策の境界は極めて明確で、簡単に言えば、EPPはセキュリティの予防機能、EDRは検知と対応の機能を提供しています。総合的な見地からすると、ほとんどの企業はEPPとEDRの両方のソリューションを導入することで、今日起こり得るサイバー攻撃に確実に備えることができると言えます。
しかし、最新のサイバーセキュリティ戦略を策定する上で、これらのソリューションの個々の役割については、しばしば混乱が生じることがあります。EPPをEDRよりも優先するべきか、またはその逆か。各対策にどのような機能を求めるべきかなのか?高度な攻撃を阻止するための最善策は何か?インシデント対応にはどのようなツールが必要なのか?
これらの質問について考察するために、まず基本に立ち返ってみましょう。
EPPは最も一般的なサイバー攻撃を防ぐ
EPPは基本的に攻撃の予防に関するすべてを担っています。特にいわゆるコモディティ脅威(バルクマルウェア、非標的型フィッシングや基本的なオンライン詐欺)に関するものです。ほとんどのITセキュリティチームは、強固なツールを導入できれば、これらの脅威に十分効果的に対処することができます。
コモディティ化された脅威の仕組みは十分に解明されていますが、依然として多くの企業にとっての優先事項であることには変わりありません。これは、大量の攻撃を受けることにより企業の事業運営が中断する恐れがあるためです。例えば、ランサムウェアによる感染が広範囲に拡散すると、ビジネス全体が停止する可能性があります。またIT部門が、マルウェアの削除や、業務用ノートPCの完全な修復などの絶え間ない要求を受けて立ち往生することも深刻な問題です。
EPPは、これらの脅威から防御するだけでなく、さらに高度な攻撃からもエンドポイントを保護することができます。また、予防的なセキュリティ対策は、ハッカーの攻撃を困難なものにするため、攻撃の長期化によってコスト構造の悪化をもたらすことができます。
このため日和見的な攻撃者は、長期化する標的への攻撃を断念し、より簡単な対象に矛先を変えることになるかもしれません。また、EPPはITセキュリティチームへの警告を減らすことができるため、侵害検知と対応のプロセスを円滑化し、作業負荷を軽減させることができます。
ここでは、エンドポイント保護対策についての説明をしていますが、エンドポイントがすべてを網羅しているわけではないことに留意すべきです。脅威を予防すると同時に、フォレンジックの目的でデータを収集する能力を最大限に引き出すには、EPPに優れたネットワーク保護スイート製品を統合する必要があるでしょう。これらの情報源からデータを効果的に収集して相互に関連付けることができない場合は、セキュリティインシデントの処理は極めて困難になります。
これらを念頭に置いて、予防とインシデント対応の側面でEPPに必要な基本機能を以下に列記します。
- AV-TESTのような第三者評価機関で実証された高いマルウェア検出率
- ランサムウェアを含む一般的なエクスプロイトの防御
- コードインジェクションの検出と予防
- ホストベースのファイアウォールとの統合
- ブラウザデータのコンテンツ検査
- 調整可能な設定によるアプリケーションのホワイトリスト化
EPPは費用対効果が高いことから、他のセキュリティソリューションよりも多くの企業で優先的に導入されています。その判断が、脅威モデリングとリスク評価に基づいた意図的なものである限り特に問題はありません。しかし、これまで機能していたからという理由だけでEPPに頼っているとしたら、今こそ貴社のセキュリティ戦略を詳しく見直すタイミングです。
EDRはEPPを迂回した攻撃を検出する
エンドポイント保護プラットフォームは脅威を予防する点で非常に重要ですが、侵害後のセキュリティ対策を目的として設計されたものではありません。基本的に、攻撃がファイアウォールとEPPを迂回した場合は、追加のツールなしでそれを検知することはできません。
そこでエンドポイントにおける検知と対応の出番となります。EDRの背景にある基本的な考え方は、通常のユーザの振る舞いの中にある悪意のある行動を特定できるようにITセキュリティチームを武装することです。これは、行動データを収集・分析するためにイベントデータをデータベースに継続的に送ることによって可能となります。EDRソリューションはAI主導の分析ツールを使用して、パターンを識別し異常を検出することができます。その後、この情報を使ってさらに調査をしたり修復が行われます。
企業は、従来のセキュリティ対策では阻止できない標的型攻撃に遭遇する可能性がますます高まっているため、現代の脅威ランドスケープにおけるEDRの価値も高まっています。戦況は優勢に転じました。もはや資産の周囲に壁を構築する必要はありません。むしろ、侵入者がセキュリティを迂回する方法を探している間に検出できるセンサーを設置する必要があります。
脅威検出とインシデント対応の両方を組み合わせたEDRソリューションに必要な基本機能を以下に列記します。
- レジストリキーの編集やプロセスの起動など、潜在的に悪意のある振る舞いの検知
- 検知イベントをコンテキスト化し、影響を受けるすべてのホストへの攻撃の可視化
- 脅威ランドスケープに関する脅威インテリジェンス包含
- 侵害に対する対応方法に関するガイダンスの提供
- 影響を受けるすべてのホストをネットワークから分離することで、攻撃をリモートで阻止
EDRは、検知と対応の観点からセキュリティを強化するための堅実な方法です。しかし、それは特効薬ではありません。EDRを適正に実行し、発生する警告に対処する人材も必要です。
さまざまな脅威のコンテキストを理解し、基本的な攻撃方法論に関する知識を持ち、脅威に対応する能力を持っている運用担当者は簡単には集まりません。実際、多くの業界アナリストが、近い将来に有能な人材が大幅に不足すると予測しています(英語)。
したがって、以下の質問を自問して現在の能力を実際に評価してみることが重要になります。ITセキュリティ専任チームは存在していますか?いない場合は、より多くの人を雇うか、アウトソーシングサービスを調べる必要がありますか?そのチームはEDRを最大限に活用するスキルを持っていますか?EDRまたは他のツールが提供する機能を使ってインシデントに対応できますか?
自動化とアウトソーシングサポートは、この種の能力不足に対処する上で大きなメリットをもたらすことが期待できます。エフセキュアのEDRソリューションは、このことを念頭に置いて設計されているため、対応アクションの自動化と、困難なケースをエフセキュアの専門家に直接エスカレートする機能の両方を提供します。
EPPとEDRのまとめ
現代のサイバー攻撃に対して有効なセキュリティ対策の体制を構築するためには、ほとんどの組織がEPPとEDRの両方を真剣に検討する必要があります。企業に固有のニーズに応じて、どちらかを優先させることができますが、いずれにしろ現代の脅威ランドスケープにおいては、効果的な予防と対応の両方とも必要になります。
あなたの会社にとってより重要なのはどちらですか?エンドポイントで攻撃を阻止するか、予防機能を通過した攻撃を迅速に検出するか、可能性が高いほうはどちらでしょう。結局のところ、これは経営陣の問題であり、その答えは会社が属している業界、ネットワーク構造、組織文化、そしてセキュリティチームの能力を反映しなければなりません。
カテゴリ