事後対処を強化しようとEDR(Endpoint Detection and Response)機能のあるエンドポイントセキュリティ製品を導入しても、使いこなすのが難しいと感じる企業もあるだろう。無駄なアラートに悩まされないEDR機能とはどうあるべきだろうか。
実際のメールの文面を流用する「Emotet」をはじめ、巧妙なサイバー攻撃が企業を脅かす昨今、セキュリティ戦略の転換が求められている。多層防御に努めつつ、ファイルレス攻撃などの高度な攻撃が防御をすり抜ける、脅威の侵入を前提にした対策が必要だ。いち早く脅威を検出し、過去にさかのぼって調査し原因を特定するとともに、対処を進めて影響範囲を最小限にとどめなければならない。
HTTPS化によるWebアクセスの暗号化が進んだことも、セキュリティ戦略の変化を後押ししている。エンドツーエンドの通信において、通信内容を秘匿する暗号化は盗聴対策となる。ただし暗号化により、従来の主流な方法である経路途中での攻撃検出が困難になりつつあるのも事実だ。
そこで、暗号化した通信を復号する場所、すなわちエンドポイントでのログ収集と分析があらためて着目され始めた。そのための施策として、近年国内で導入熱が高まっているのが「EDR」(Endpoint Detection and Response)機能を持つセキュリティ製品だ。だが張り切って導入した企業からは、「どうも想像と違い、運用に戸惑う」という声が上がっているという。いったいなぜだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:トレンドマイクロ株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部