Endpoint Detection and Response(EDR、エンドポイントでの検知と対応)とは?
- IAM 用語集
- Endpoint Detection and Response(EDR、エンドポイントでの検知と対応)とは?
EDR(Endpoint Detection and Response)は、ETDR(Endpoint Threat Detection and Response)とも呼ばれ、エンドユーザーのコンピューターやノートパソコン、サーバー、モバイル機器、IoT(モノのインターネット)機器などのエンドポイントデバイスを継続的にモニタリングして脅威データを収集、分析し、セキュリティチームにリアルタイムで漏洩を警告するソフトウェアソリューションの総称です。
Endpoint Detection and Response(EDR)の仕組みとは?
EDR は非常に広範な用語であるため、個々の EDR ソリューションの具体的な機能や性能は、ベンダーや実装によって大きく異なります。一般的に、エンドポイントでの検出と応答ツールは、以下の 3 つのカテゴリーのいずれかに分類されます:
- EDR 専用プラットフォーム
- エンドポイントでの検出と対応を行う小さなツールの集合体
- 次世代ウイルス対策ソフトなど、他のセキュリティ製品に組み込まれた EDR 機能。セキュリティ情報イベント管理(SIEM)ベンダーの中には、パッケージの一部として EDR を提供しているところもあります
EDR ソリューションは、ログ、ファイルの詳細、実行中のプロセス、パフォーマンスモニター、設定データなど、エンドポイントデバイスからのテレメトリ(遠隔測定法)を集約して分析し、潜在的な脅威パターンを検出することで機能します。
最もシンプルな EDR システムは、純粋にアラートを発するツールです。EDR システムは、人間の担当者が閲覧して対処できるように、データを収集、分析、表示します。データは中央データベースに保存され、通常、SIEM ソリューションに供給することができます。
より高度な EDR システムには、以下のような機能があります:
- 脅威が検出された場合、エンドユーザーのログオフ、侵害されたプロセスの停止、エンドポイントデバイスの完全な無効化など、特定の修正アクションを取ることができる自動応答メカニズム。
- 人間のセキュリティ担当者が、何が起きているのか、どの機器やシステムが影響を受けているのか、攻撃を止めるにはどうしたらいいのか、今後の攻撃を防止するにはどうしたらいいのかを理解するための脅威対応ツール。
- 行動分析を用いてデバイスの活動をコンテキストに当てはめ、EDR の事前設定されたルールに適合しない脅威を含む、新しい脅威や出現した脅威を特定する機械学習と AI を搭載した分析機能。これには、異常な動作を無料の MITRE ATT&CK フレームワークにマッピングし、パターンの検出を支援することも含まれます。
- インシデントレスポンスや漏洩後の分析において、セキュリティ担当者がタイムラインを設定し、影響を受けるシステムを特定し、証拠を収集するのに役立つフォレンジックツール。また、セキュリティ担当者は、EDR フォレンジックツールを使用して、データ環境における未検出の他の脅威を積極的に検索することもできます。
EDR の重要性
PC やノートパソコンだけでなく電話や IoT デバイスなど、組織のネットワークに接続されるエンドポイントデバイスが爆発的に増加しているため、EDR システムは普及が進んでいます。脅威者は、これらのデバイスをネットワークに侵入するための「ソフトターゲット」とみなし、ますます洗練された攻撃手法やマルウェアを使用して攻撃しています。
エンドポイントでの検出と応答ツールは、ウイルス対策ソリューションと混同されることがあります。多くの EDR システムは、ウイルス対策ソフトウェアにバンドルされているか、ウイルス対策ソリューションのデータベースからデータを活用しています。
しかし、ウイルス対策ソフトは、製品のデータベースに登録されている既知のマルウェアの種類からしかエンドポイント機器を保護しません。逆に、EDR は、ファイルレスマルウェア、盗まれたクレデンシャルを利用した攻撃、APT(Advanced Persistent Threats)、まだどのアンチウイルスデータベースにも登録されていない新しいマルウェアなど、ウイルス対策ソフトウェアが検出できない脅威を含む新しい脅威をスマート分析を使って検出します。
ウイルス対策ソリューションは、一定期間内にソフトウェアがブロックした脅威の数と種類という基本的な情報しかユーザーに提供しません。EDR システムは、脅威の主体に関する情報など、攻撃に関する非常に価値の高いコンテキストデータを追加で記録し、過去の傾向を明らかにすることで、組織がセキュリティ戦略を立てる際に活用することができます。
企業における EDR の活用方法
EDR システムは、ウイルス対策ソリューションやその他のセキュリティツールを通過してしまうような脅威を検出するだけでなく、インシデントレスポンスを加速し、緩和策で支援し、セキュリティチームはデータ環境全体におけるエンドポイント動作の完全な可視化を利用でき、先を見越した脅威対策を可能とします。
セキュリティ担当者がエンドポイントセキュリティに積極的な役割を果たすことが、EDR デプロイメント成功のカギとなります。EDR アラートのフォローアップに加え、エンドポイントデバイスを最新の状態に保つための強固なパッチ管理戦略も必要です。ソフトウェアのアップデートには重要なセキュリティパッチが含まれていることが多く、タイムリーな適用を怠ると、エンドポイントのセキュリティが著しく損なわれる可能性があります。
クラウドの設定ミスも、よくあるエンドポイントセキュリティを低下させる問題です。EDR ソリューションがエンドポイントの設定を可視化することで、IT およびセキュリティチームはクラウドの設定ミスを防ぐことができ、同様に、クラウド環境が適切に維持されることでエンドポイントのセキュリティが強化されます。