「一番いいのを頼む」とはいかないEDR選定、決め手は“アラートの数”?第三者評価も参考にできる

エンドポイントセキュリティとして注目されている「EDR」。だが、市場にはさまざまなEDR製品があるため、 選定には時間がかかる。製品の性能を客観的に評価するにはどういった方法が有効なのか。

2021年11月18日 10時00分 公開
[TechTargetジャパン]

 テレワークを導入する企業にとって重要な課題は「エンドポイントをどのように守るか」だ。この課題の解決方法として注目されているのが「侵入される前提でのセキュリティ」だ。従来の「脅威を侵入させないことに全力を尽くす」境界防御とは違い、「侵入した脅威を素早く検知し、対処することで被害を防ぐ」という発想だ。

 こうした発想で開発されたエンドポイントのセキュリティが「EDR」(Endpoint Detection and Response)だ。普段とは違う不審な挙動を検知するため、シグネチャがない脅威であっても検知できる。ただ、さまざまなベンダーから多くのEDR製品が提供されているため「どれを選べばよいか分からない」という課題がある。第三者評価を利用する方法もあるが、数多くの調査機関や団体があり、評価方法も異なる。

 「重要なのは対象のEDR製品が『実際の攻撃にどのくらい有効なのか 』を評価していることだ」

 こう指摘するのは兼松エレクトロニクスだ。兼松エレクトロニクスは実際に第三者評価を利用し、EDR製品を選定。自社をはじめ、さまざまな企業に導入している。同社は第三者評価として「MITRE ATT&CK Evaluations」(以下、ATT&CK Evaluations)を利用したが、その理由は何なのか。

 本稿は2021年10月にアイティメディアが主催したオンラインセミナー「今組織に必要な『正しいセキュリティ世界』の作り方」のセッションを基に、兼松エレクトロニクスが実践したEDR製品の選定方法と導入事例を紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:兼松エレクトロニクス株式会社、ヴイエムウェア株式会社
アイティメディア営業企画/制作:アイティメディア編集局

Copyright © ITmedia, Inc. All Rights Reserved.