働き方改革やコロナ2019の感染拡大により、多くの企業でテレワークが導入され、新しい生活様式の中で常時テレワークにしている会社も多いでしょう。そんな中、企業の経営者の方々や、情報システム部門の方々は、これまで以上にネットワークセキュリティに対して敏感になられているのではないでしょうか。今回は、パソコンやサーバーを守る「EDR」について、EPPとの違いや、データセンターを選ぶポイントなどについてご紹介していきます。
EDRとは?
まず、EDRとはどのようなものなのかを確認していきましょう。EDRは、Endpoint Detection and Responseの略で、直訳すると「エンドポイントの検出と対応」を意味し、エンドポイントとはサーバーやパソコンなどの端末を意味します。具体的に何をしてくれるかというと、マルウェアなどのコンピューターウイルスの検出、検出が確認された場合の感染端末の隔離、マルウェアなどのウイルスの情報調査や分析、感染経路の確認、原因となるファイルの駆除や復旧までを行うものです。
EDRの特徴は、サーバーに接続されているタブレットやパソコン、スマートフォンなどさまざまなデバイス(エンドポイント)の監視を行うことで、サイバー攻撃につながるウイルスを発見し、デバイスを隔離することでサイバー攻撃を防ぐというものです。
EDRの主な機能としては、ネットワーク全体のデバイスの監視や、サイバー攻撃兆候の検知、感染や被害状況の特定、デバイスの状態可視化などが挙げられます。
EDRが解決する課題
次に、実際にEDRが解決してくれる課題について確認していきましょう。
マルウェアなどのウイルス「事前防御」
EDRが解決できる課題として、大きく「事前防御」と「事後防御」が挙げられます。これまでのウイルス対策は「事前防御」が中心でしたが、EDR最大の特徴は「事後防御」もできるという点になるでしょう。
EDRが行う「事前防御」は、デバイスごとに事前にウイルスの発生を防ぐということよりも、各デバイス(エンドポイント)がウイルス感染した場合に、直接サーバーが攻撃されないようにウイルスの発生を検知し、隔離するという対策になります。
つまり、EDRはデバイスごとにマルウェアなどのウイルスに感染することを前提に、デバイスごとにリアルタイムに監視をして異常な状態を検知するというものです。
マルウェアなどのウイルス「事後防御」
EDRにおける「事後防御」とは、先述したデバイスにおけるマルウェアなどのウイルス感染が確認された際に、デバイスをネットワークから隔離してサーバーへの攻撃を防ぐというものになります。そして、ウイルスの検知が確認された際に、感染されたデバイスを隔離することでマルウェアなどのウイルスの封じ込めを行うことができ、ウイルスが感染された経路や根本的な原因を確認することができます。
EDRはリアルタイムにデバイスを監視し、ログの収集を行っているため、感染確認後もログ内容を確認することで原因の特定や影響範囲の特定にもつながります。
ウイルス感染前の状態復旧まで
EDRの特徴として、状態復旧まで行うというものがあります。ウイルスの検知や隔離をするだけではなく、デバイスのログ情報を確認して、どのようにしてウイルスに感染したのか、どれくらいの被害が出たのかを分析し、そのうえで危険なファイルの選定や駆除を行います。
EDRとEPPの違いは?
次に、EDRを語るうえで、よく比較される「EPP」についても、その違いについて確認していきましょう。
EPPとは
EPPは、Endpoint Protection Platformの略で、EDRと同じようにウイルスなどの感染を防ぐ目的の製品で、特徴としては「感染を事前に防ぐ」ことです。
EPPは古くからあるセキュリティ製品で、これまで一般的に企業でも個人でも利用されてきました。一般的にパソコンを守るセキュリティソフトに当たるのが、このEPPになります。
EPPの特徴は、ウイルスからデバイスを事前に守ることで、既存のウイルスの定義ファイルと照らし合わせてマルウェアなどのウイルスの侵入を防ぎます。
EDRとの違い
EPPとEDRの違いは、そもそも根本的な考え方に違いがあります。EPPは侵入を事前に防ぐことを目的とし、既存のウイルスの定義ファイルと照らし合わせて同じようなパターンのウイルスを防ぎます。しかし、EDRは「感染することを前提」にしている製品で、それぞれのデバイスがウイルスに感染する前提で、核となるサーバーへの攻撃を防ぐというものです。
そのため、EDRは各デバイスの状態をリアルタイムで把握し、これまで無かったウイルスのパターンだとしても、状態異常を検知することで対象のデバイスを隔離し、核となるサーバーへの侵入を防ぐというものです。
EDRが注目されている理由
次に、EDRが注目されている背景や理由についても詳しく見ていきましょう。
ファイルレスマルウェアの脅威
近年マルウェアの種類の中に「ファイルレスマルウェア」というものが利用され、企業や個人のパソコンを攻撃することが多くなっています。
ファイルレスマルウェアは、従来のファイルから感染するものではなく、メモリー上で不正コードを実行するため、正規コマンドやプログラムとの判別が困難である上に、従来のEPPのようなセキュリティ製品では対応できないようなものが発生しています。このような状況の変化から、EDDの需要が高まったと考えられています。
リモートワークの普及
社会的にリモートワーク・テレワークが広がったことも、EDRに注目が集まった要因の一つと言えるでしょう。これまで以上にネットワークを利用するようになり、テレワークをしている中でどのようにパソコンなどのデバイスを利用しているか、監視しづらい状況になっています。
また、テレワークが中心であることから、サーバーやネットワークがダウンしたり、感染によって利用できない状況になると、企業としては大ダメージを受けるため、リスクを軽減させるためにもセキュリティの強化を高めるという企業も多くなっているでしょう。
セキュリティの考え方の変化
そもそも、従来のセキュリティの考え方と比べて、セキュリティに関する考え方も変わってきているようです。クラウドや5Gなどの環境の変化により、Web上でさまざまなサービスが普及し、利用している企業も多くなっています。
そのような社会の中、新しいウイルスが多く発生し、ウイルスの感染を止めることは難しいと考えられ、ウイルスの感染を止めるのではなく、ウイルス感染が起こるものとして、核であるサーバーを守るためのEDRに注目されている背景があります。
EDRの仕組みと流れ
次に、EDRがどのような仕組みで感染を防ぐのか、仕組みや流れについて確認していきましょう。
ウイルスの検知
EDRはまずウイルスの検知をするため、デバイスごとにリアルタイムにログを収集し、不審な挙動がないかを確認します。各デバイスで不審な挙動を既知のマルウェアと照合したり、AIを利用したりして自動検知します。
ウイルスの隔離
ウイルスに感染したことが確認されると、対象のデバイスの端末をネットワークから隔離して、端末にマルウェアなどのウイルスを封じ込めます。このことにより、サーバーなど核となる部分への侵入を防ぎ、大きな被害になることを防ぐというものです。
ウイルスの調査
次に、感染したデバイスのログを確認し、ウイルス感染の経路やプログラムなどを調査・分析して、どのようなプロセスで感染したのか、被害はどれくらいあるのか、どのようなウイルスの種類なのかを特定していきます。
復旧
そして、ウイルス感染した元となる端末を正常な状態に戻し、使用可能な状態を作ります。もし、マルウェアが駆除できないようなものだった場合には、端末の初期化などが必要になりますが、いずれにしても端末の使用や、サーバー・ネットワークは復旧し、通常運用を行えるようになります。
EDR選定のポイント
最後に、EDRを選定するポイントについて確認していきましょう。
どの領域まで対応してくれるのか
企業のセキュリティ対策を考えた場合に、EDR単体だけではなく、エンドポイントセキュリティとしてさまざまな領域に対応してくれるサービスを選ぶと良いでしょう。
EDR選定というよりも、EDRを含めたセキュリティ対策をすることが、企業としてはより強固なセキュリティ対策ができるため、USBデバイスの制御やパッチ配信、脆弱性管理などEDRを含めた広い領域でサポートしてくれるセキュリティソリューションを選ぶことがおすすめです。
導入期間やコスト
EDRを導入する際には、どれくらいのコストをかけるべきか、費用面の部分がポイントです。高価なEDR製品だからといって、必ずしも企業にマッチしているとは限りません。必要な機能、十分なセキュリティを踏まえたうえで、コストの部分を確認すると良いでしょう。また、導入にどれくらいの期間が掛かるのかも確認しておく必要があります。
データセンターを選定する際にもEDR有無の確認を
ここまで、EDRとはどのようなものか、EPPと比べて何が違うのか?についてご紹介してきました。EDRはEPPとそもそも考え方が異なり、現在社会におけるウイルスの感染リスクから、「感染することが前提」で対策をする製品となります。
企業内サーバーでシステムを構築やサービス提供している企業も、データセンターのサービスを利用している企業も、EDRの存在は今後無視できないでしょう。データセンターサービスを利用している企業や、これから利用しようと思っている企業の方は、データセンターでもEDRの製品を導入しているサービスもありますので、その部分にも着目してデータセンターを選定することがおすすめです。
コメント