企業のIT関係者にとって絶対に起きて欲しくないことは、目の前での侵害の発生です。誰もが、「なぜ攻撃者が侵入できたのか」、「なぜ攻撃を検知できなかったのか」を役員会で説明しなければならないような立場にはなりたくありません。しかしながら残念なことに、スマートデバイスを標的とする攻撃を含め、企業のエンドポイントに対する攻撃は増加しています。しかし、ほとんどの企業ではこれらの脅威に対処するために必要なサイバーセキュリティの人材が不足しています。
多くの企業が、EDR(エンドポイントでの検知と対応)製品の必要性を認識しており、EDRの世界市場は、2024年までに34億4,364万米ドルに成長すると予測されています(英語)。しかし、どうすれば自社にとって最適なEDR製品を選ぶことができるのでしょうか?
ベンダ-に尋ねるべき質問が分かれば、自社にとって最適なソリューションを選択することができます。EDR製品についてベンダーに相談する際は、少なくとも以下の5つの質問をしてみてください。
EDR製品を評価するための不可欠な質問
そのEDR製品は実際にどのように脅威を検知していますか?
EDR製品を評価する際、代表的な判断指標は、米国に拠点を置く非営利団体、MITRE(マイター)社の評価方法です。これは、さまざまなサイバー攻撃グループによる標的型攻撃で使用された一連の戦術、手法、および手順を継続的に更新して作成された、MITRE独自の「ATT&CKフレームワーク」に照らし合わせてEDR製品を評価します。このフレームワークは、異なるEDRベンダーの製品のパフォーマンスをベンチマークしするための公平な結果を提供しており、それぞれに期待できるテレメトリ、アラート、インターフェイス、出力の種類についての知見を提供します。MITREの評価は、ガートナーやフォレスターなど、いくつかの業界の権威によって広く利用されています。
各EDR製品には、脅威を検知するための独自のアプローチがあり、そのアプローチによって最も効果的に検知できる攻撃タイプが決まります。導入を検討しているEDR製品が使用している検知手法の詳細と、それらがどのように連携して検知ためのコンテキストを提供するのかについての詳細な説明を求めるべきです。
- そのEDR製品は、WordやPDFなどの一般的なファイルタイプを使用した攻撃を検知できますか?
- PowerShellやその他の正規アプリの不正使用を検知できますか?
- アプリケーションやユーザーによる不審な動作を検知できますか?
- 意図的か否かに関わらず、組織内部の脅威を検知できますか?
- 検知したイベントのリスクレベル、影響を受けるホストの重要性を評価することができますか?
EDR製品では、脅威を検知する能力が最も重要な要素であることは間違いありません。これまでは、この要素を評価することは困難でしたが、MITREの評価結果を、EDRテクノロジーのパフォーマンス確認のための基準として活用することができます。各ベンダーに、EDR製品が脅威を検知する方法を尋ね、その結果をMITER評価テストに掲載されている他のソリューションと比較してください。
そのEDR製品を正しく稼働させることは、どれくらい難しく、どのぐらいの時間を必要としますか?
MITRE評価を利用することは出発点としては素晴らしいのですが、検知パフォーマンス以外の要素も考慮する必要があります。EDRソリューションだけでは、包括的なEDR機能を組織に提供することはできませんが、そうした機能の開発には多くの課題が伴います。EDRソリューションは、他のセキュリティシステムと統合し、ITチームが管理し、インシデント対応の専門家が分析し、セキュリティ調査や脅威の調査を行う必要があります。
熟練のインシデント対応の専門家だけが効果的に取り扱える製品は、そのような専門家を擁することで初めて有用なものになります。ほとんどの企業には、インシデント対応の専門家が常駐しているわけではないので、新任のIT担当者でも運用できるEDRソリューションが求められます。わかりやすいユーザインタフェースとダッシュボードは必須です。また、エンドポイントで発生するすべてのアクティビティを可視化するソリューションであることが望まれます。これにより、攻撃がいつどのように発生しているかをチームが簡単に理解できるようになります。自動化されて提供される対応アクションとガイダンスにより、必ずしも専門家でなくても攻撃に対処することができます。
そのEDR製品は、他のセキュリティ製品と統合することができますか?
EDR製品は従来のエンドポイント保護製品とは異なりますが、包括的なセキュリティ対策には、両方の製品が不可欠です。エンドポイント保護製品には、既知の脅威を認識し阻止するためのウイルスおよびマルウェア対策ソリューションです。EDRは、エンドポイント保護を回避する、高度な標的型の脅威の検知に焦点を当てています。これには、さまざまなエンドポイントを対象とした高度な攻撃が含まれます。EDRソリューションがエンドポイント保護プラットフォームに統合されていなければ、両方のソースからの情報を同時に調査することができません。理想的には、すべての脅威を効果的に予防、検知、および対応できるだけでなく、同じユーザポータル内で両方のソリューションを管理できる状況が望まれます。このため、提供されるポートフォリオに、堅牢なエンドポイント保護製品も含まれているEDRベンダーを検討することが有益です。
そのEDR製品は社内のエンドポイントのパフォーマンスへどのような影響を及ぼしますか?
ネットワークトラフィックを遅延させ、エンドポイントのパフォーマンスに影響を与えるEDRソリューションは、ユーザを苛立たせ、組織内でのすべての作業効率を低下させる可能性があります。最善の選択は、エンドユーザには実質的に透過的な、軽量で目立たないエンドポイントセンサーを備えたソリューションを提供するEDRベンダーです。これは、あらゆるサイバーセキュリティソリューションが目指していることであるため、候補ベンダーが全社的にこの機能を優先しているかどうかを知ることが重要です。
そのEDRベンダーはどのようなサポートを提供していますか?
ベンダーから提供されるサポートはさまざまな形態がありますが、通常以下のようないくつかの質問を尋ねてください。
- サイバー攻撃や複雑な脅威を検知した際、ベンダーから提供されるオンサイトの支援の有無
- そのベンダーのEDRソリューションには、実践的な経験を持つインシデント対応の専門家による支援の有無
- そのベンダーはオプションとしてマネージドサービスを提でき、ベンダーの専門家にインシデント対応を任せることが可能ですか?
- (特に標的になる可能性の高い大規模組織の場合)そのベンダーは、攻撃を検知後、数分で検知・対応が可能な脅威のハンティングのマネージドサービスを提供できますか?
- そのベンダーは、脅威調査員とインシデント対応の専門家による24時間365日のサポートを提供が可能ですか?
カテゴリ