「EDR」の導入効果を高める「SOC」サービス選びのポイントとは：セキュリティアラートに迅速かつ適切に対処する

サイバー攻撃が深刻化する中で、攻撃者がシステムに侵入した場合の被害を抑える「EDR」という手法が登場している。セキュリティ対策を担うSOCサービスは、適切なEDRの運用を支援する存在だ。自社に合ったSOCサービス選びのポイントとは。

[ITmedia]

　ランサムウェアをはじめとするサイバー攻撃は巧妙化しつつある。企業は効果的な対策を講じることが急務となっている。

　サイバー攻撃の手法として、企業のエンドユーザーの“うっかりミス”を誘発するような巧みな文言を、生成AI（ジェネレーティブAI）技術を活用して作り出している事例もある。発見されたばかりで対策が間に合っていない脆弱（ぜいじゃく）性を狙う「ゼロデイ攻撃」といった、高度な攻撃も珍しくない。

　こうした状況を踏まえ、「サイバー攻撃を完璧には防げない」ことを前提として、侵入後の対策を強化して深刻な被害の発生を防ぐ「EDR」（Endpoint Detection and Response）というセキュリティ対策手法が登場した。

　マルウェアの侵入を完全に阻止することは困難だが、システム内部に侵入したマルウェアは情報の窃取やシステムの破壊工作などを実行する過程で、さまざまな痕跡を残す。システムのログを精査することで、こうした怪しげな挙動を見つけ出すのがEDRの主な役割だ。内部に侵入したマルウェアの活動状況を捕捉するという性格上、手遅れになってしまうリスクを避けるためにも、異常を検知したら迅速な対処が必須となる。

　EDR製品は技術進化が続いている。AI技術を活用して誤検知率を低く抑え、本当に危険な兆候だけを警告する製品が一般的になったことで、「セキュリティ担当者が無数のアラートの対処に追われる」という問題は解消されつつある。しかしアラートが出た後の対処は、システムを監視してサイバー攻撃の検知や分析を実施するチームを意味する「SOC」（Security Operation Center）のスキルが必要だ。

SB C&Sの小野坂 颯氏

　VMwareのEDR製品「VMware Carbon Black Cloud」を使用したSOCサービスを提供するSB C&Sの小野坂 颯氏（ICT事業本部　システム基盤推進本部　アライアンス推進統括部　仮想化クラウド販売推進部　ソリューション推進課）は次のように説明する。「EDRの導入はスタート地点に過ぎません。『導入したら終わり』『導入すれば安心』なのではなく、導入によるメリットを生み出せるかどうかは、その後の運用次第です」と語る。EDR製品は日々高度化するサイバー攻撃に合わせて、運用しながらセキュリティ強度を高めていく製品のため、ユーザー企業の利用状況に応じた適切な設定や運用が欠かせない。

　ユーザー企業がSOCサービスを利用する場合でも、「ベンダーに全てを任せる」という姿勢ではなく、SOCサービス事業者と共に運用体制をより高める努力が必要だ。「セキュリティポリシーの策定や、インシデント発生時の対処方針の明文化など、企業としての方針を決める際は、EDRの有無にかかわらずお客さま自身の判断が必要です」と小野坂氏は指摘する。

　セキュリティ対策のスキルに不安のあるユーザー企業に向けて、自社の責任や判断で実施すべき領域に、アドバイスを提供して支援するSOCサービスもある。SB C&SはSOCサービスの運用経験から得られた豊富な知見をホワイトペーパーとして公開している。「SOC選び　4つのチェックポイント」を詳しく解説しているホワイトペーパーは、以下からダウンロード可能だ。