デジタルトランスフォーメーション(DX)推進やテレワークの普及に伴い、企業でクラウドサービスを活用する動きが活発化してきました。しかし、社外からアクセスする機会が増えたことで、従来までの境界型セキュリティでは脅威に対応しきれなくなっています。そこで注目を集めているのが「EDR」です。ここでは、EDRとは何かを説明するとともに、近年必要性が叫ばれている「ゼロトラスト」の考え方や、EDR製品やソリューションを選ぶ際のポイントなどについて紹介します。
EDRとは
「EDR(Endpoint Detection and Response)」とは、PCやサーバーといった「エンドポイント」の動作を記録および監視し、不審な挙動を検知した際に対処を行うセキュリティソリューションです。
従来の境界型セキュリティは、侵入を防ぐことに主眼を置き、ネットワーク上の外部と社内ネットワークとの境界に壁をつくることで、安全性を保っていました。ですが、ますます手口が巧妙になっている最近のサイバー攻撃には対処しきれなくなりました。そのため、侵入されることを前提に、いかに被害拡大を防ぐかに対策の軸が移り、EDRが注目されるようになったのです。
いかにもマルウェアだと分かる場合には検知しやすいのですが、現在では攻撃者がOS標準機能のプログラムを使用し、正規ユーザーによる操作であるかのようにふるまうことで、EDRの監視をかわそうとする手口も少なくありません。そこで最新のEDRでは、そのような場合でも検知できるような能力を備えています。
ゼロトラストとは
従来、企業のセキュリティ対策は、「社内ネットワークは対策が十分で安全だ」という前提のもと、オフィス内のPCを信頼して対策を緩くしていました。一方で、インターネットから社内システムを利用するようなケースは、十分な対策を施します。たとえば、ファイアウォールの有無などです。
ところが近年では、クラウドサービスやテレワークの普及により、今までのセキュリティの考え方が通用しなくなってきました。企業内のネットワークを経由することなく、インターネットだけで業務が完結するようになると、すべて信頼できなくなるためです。また、基幹システムをクラウドで利用することや、ファイルサーバーをやめてクラウドストレージを利用することも一般的になってきており、もし対策を講じなければ、重要なデータが脅威にさらされてしまいます。
そこで生まれたのが、すべてのアクセスを“何も信頼せず”、正当性や安全性を検証する「ゼロトラスト」というアプローチです。
ゼロトラストにおける対策の基本は、エンドポイントセキュリティの強化です。すなわち、いかに末端のPCやサーバーを守るかが重要となります。従来はウイルス対策ソフトのチェックをしておけば、ある程度は安心できたかもしれません。しかし、最近はマルウェアの巧妙化・高度化が進んでいるため、既知のウイルスかどうかで判断するような旧来の対策では、マルウェアの侵入後の活動を許してしまう可能性が高まっています。そこで、未知の脅威にも対応して検知と除去できる「EDR」が注目されているのです。
EDR製品の選び方
このように、ゼロトラストの実現にEDRは有効とされていますが、市場ではさまざまな機能を備えたEDR製品が存在し、どれを選べばよいか迷う場面も多くあると思います。EDR製品導入に際しては、次のような観点で検討するとよいでしょう。
①検知能力
最新の攻撃手法や未知のマルウェアを正しく検知できる能力が問われます。AIや機械学習を利用することで検知精度を高めている製品があるので、導入を検討するのもよいかもしれません。
②調査支援機能
脅威が検知された場合に、被害拡大を防止し、すみやかに回復させるためには、原因や影響範囲などを調査は欠かせません。その作業をサポートしたり、自動化したりする機能についてもチェックしておきましょう。
③展開の容易さ
一般的にEDRは、監視対象とするエンドポイントにエージェントと呼ばれるソフトウェアを導入する必要があります。従業員1人ひとりのノートPCも対象ですので、それらに対して、できるだけ負担なく展開できることが求められます。テレワークが前提になると、従来のようにPCを回収したり、サポートデスクに持ってきてもらったりすることも難しくなりますので、効率的に展開できる製品がよいでしょう。
④既存のシステム環境との親和性・影響
定期的なウイルススキャンで、一時的にオフィスソフトやブラウザの動作が重くなってしまった経験はないでしょうか。たとえ高機能なEDRだとしても、既存環境に影響を与えるような製品では通常業務に支障をきたしかねません。
また、テレワークではノートPCを利用しますが、デスクトップに比べて電源や処理性能に制約があり、PCの種類や利用するネットワークも多様です。それを踏まえ、社内環境だけでなく、テレワーク環境に与える影響も想定しておきましょう。
⑤サーバーでの分析性能
EDRは各エンドポイントのログデータをサーバーに収集し、分析処理を行うことが一般的です。④で挙げたように末端のPCへの影響を気にすることも大切ですが、それらのデータを集約するサーバーの処理性能についても、検知精度やパフォーマンスが左右されますので、気に掛けておきましょう。
まとめ
現在は、DXや働き方改革の推進が求められており、コミュニケーションやコラボレーションを実現するクラウドサービスが必要な時代となっています。クラウド利用やテレワークの浸透に伴い、従来のような「安全なIT環境」を定義して対策を分けることは現実的でなくなってきました。また同時に、サイバー攻撃の手法は高度化・巧妙化の一途をたどっています。そのためゼロトラストの考えに基づいた、侵入されることを前提としたセキュリティ対策、ひいては「EDR」が求められているのです。
Dropboxには、さまざまな攻撃からアカウントを守るツールが組み込まれています。2 段階認証の有効化、サードパーティ製アプリの監視、セキュリティ設定の調整を行い、ファイルを安全に保管できます。また、通信経路は常にSSL/TLSで暗号化しています。セキュアにファイル共有を行ったり、Dropbox Paperによる円滑なコラボレーションを図ったりすることが可能ですが、さらにEDRと組み合わせることによって、PCを使った業務全体のセキュリティレベルを高めることが可能となります。ぜひ一度ご検討ください。