EDRでセキュリティの現場が変わる

　昨今、サイバー攻撃によって企業の知財や顧客情報が大量に盗まれるといった深刻な展開になるセキュリティインシデントが後を絶ちません。こうした危機への対応の際に、対外発表や対処の遅れが世間に問題視されるケースが少なからずあります。

　対応に時間がかかる理由は、各局面での「意思決定材料の不足」であることが多いです。その中でも最も重要な意思決定材料となる情報とは、過去に端末上で発生した電磁的記録の「変更履歴」です。

　これを得るためには、フォレンジック技術を利用した調査によって、ほぼ不可読なデータの塊から人に理解できる状況証拠を得る方法が一般的です。しかし、この調査には多くの時間と労力が必要になります。本記事ではこれらの状況を改善できる可能性をもったEDR (Endpoint Detection and Response) と呼ばれるソリューションが持つ機能の概要と、技術的調査の展望についてご紹介します。

セキュリティインデント対応の実態

　標的型攻撃といわれる高度なサイバー攻撃は、その検知までに「平均200日」かかるという通説があります。一方で、ある程度の技術を持った攻撃者が、その攻撃を成功させるまでにかかる日数は「平均4-6日」と言われています。

　この時間の「ギャップ」が示すとおり、異常検知能力や異常を検知してからの対処能力の向上がまだまだ課題であることは明らかだと言えるでしょう。

　これまでも攻撃者側の手口に学び、対抗手段としての「防御・検知」の仕組みは高度化してきました。しかしながら、インシデント対応の現場では異常を発見してからの対処、すなわち「レスポンス」の質が成熟しておらず、この点がボトルネックになっているように感じます。

　例を挙げると、企業が標的とされるようなサイバー攻撃に遭遇した際には、以下のような問題に直面します。

　このような状況をご想像できるでしょうか。

　セキュリティインシデントに遭遇したとき、適切な対応の判断を行うには、一定の意思決定材料が必要です。しかし、こうした諸問題が障害となって結果的に材料が不足し、適切な判断が困難になるということがほとんどなのではないかと推測しています。

Young business man with problems and stress in the office

「EDR」の登場

　このような状況を受けて、近年、一歩進んだ対処を可能とするEDRと呼ばれるソリューションが登場しており、数十社以上のベンダーが製品を発表しています。

EDR導入ガイド　ーインシデント前提社会の最適解ー

　世界最大のITアドバイザリ企業のガートナーでも、2017年の注目すべきセキュリティのトップ・テクノロジにEDRを選出し、次のように説明しています。

EDRとは何か

　また、同様にガートナーはCISOが注目すべき2018年のセキュリティ・プロジェクトのトップ10にも「検知／対応」を選出し、EDRを選択肢の1つにあげるなど、継続して注目度が高いことがわかります。

　EDRに求められる能力、製品が持っている能力を簡単にまとめると次の３つとして整理できます。

EDR1-1

EDR2a

EDR3a

　筆者は、業務の中でインシデント対応にあたることが多いのですが、前述のような課題感から特に3つめの機能「調査能力」に注目しています。

　この機能の有用性について端的に言うと、多数の端末上で処理される電磁的記録の変更履歴をリアルタイムで収集・分析しておくことです。これによって以下のようなメリットを享受できるようになります。

　・異常を検知した時点で過去の状態を時系列で調査することができる

　・リアルタイムに状態が可視化されるため、現時点での被害の広がりを把握できる

　調査対象から必要なデータを常に収集するため、データが残りにくい仮想化環境や、調査のために停止できないサーバなどは、特に大きなメリットがあると考えられます。

　これによって、検知を一定期間すり抜けたケースなどでも、

　「過去何が起こったのか」

　「どのような攻撃を受けたのか」

　「被害がどれくらいの規模に及んでいるのか」

といった調査が、従来の調査と比較して高速・容易に実施することができます。これによって、より迅速で正確な意思決定をすることが可能となるのです。

Crowdstrike

EDRをどのように考えるべきか

　インシデント対応における「レスポンス」の領域で期待されているEDRですが、多様な製品があるため、機能の特色などのバリエーションが多く選定が悩ましいです。また、投資効果について疑問視する見方もあります。しかしながら、市場の注目度は非常に高く、従来の課題を解決するソリューションとして、深刻な事案にも対応できる十分な機能を備えた製品群に育っていると考えています。

　こうした状況を踏まえると、中長期的な「インシデント対応のあるべき姿」を目指しながら、まずは新たな概念のEDRを試してみる。そして、そこから得られたナレッジを基にして、自社の対応スキルや成熟度を高めていくという取り組みが、「インシデント対応のあるべき姿」への近道なのではないかと考えています。

　まずはEDRが保有している機能を調査した後に、トライアル（Proof of Concept）に重きを置き、自社の人員で実運用に耐えられる製品かどうかを確かめることが重要です。

　なお、自社での運用が難しい場合は、NRIセキュアで「マネージドEDRサービス」というEDRの運用サービスも行っておりますので、こちらもぜひご活用ください。

NRIセキュア：マネージドEDRサービス

hand drawing creative business strategy with light bulb as concept

おわりに

　今回ご紹介したのは、EDRの機能と恩恵の「一部」に過ぎません。その他にも、調査の前段で期待される「検知能力」についても、各製品で様々な機能強化をアピールしています。

　インシデントレスポンスに関する機能も、「調査能力」だけではなく、遠隔から論理的にネットワーク隔離が可能だったり、端末上の不審なファイルやプロセスそのものに対処できる機能があったりします。重大なインシデントの凄惨な現場を経験している筆者からすれば、かゆいところに手が届く魅力的な機能を持つ製品群です。

　EDRはこれから成長する分野であり、インシデント対応の現場が抱える問題を解決することができるソリューションだと考えています。