さまざまな手段を使って防御を擦り抜けようとするサイバー攻撃に備えるため、侵入後のセキュリティ対策を強化する「EDR」が脚光を浴びている。EDRの基礎や、自社に合ったEDRの選び方を手っ取り早く学ぶには。
ランサムウェア(身代金要求型マルウェア)攻撃を受け、事業継続が困難になった企業の事例が相次いでいる。企業にとってサイバー攻撃は対岸の火事ではなく、今対処すべき深刻なリスクだという認識は浸透しつつある。だがセキュリティ対策の重要性を理解していても、具体的に何を導入すればよいのかを理解することは簡単ではない。
巧妙化を続ける昨今のサイバー攻撃に備えるには、「侵入を前提とした対策」が重要だ。侵入を前提とした対策によって、防御を擦り抜けてシステムに侵入する攻撃にも対処できるようになる。SB C&Sの千代田 寛氏(ICT事業本部 技術本部 第1技術部 1課)は、「侵入や不審な振る舞いを検出し、攻撃内容を分析することが必要です」と指摘する。
システムに侵入したマルウェアは、全てが侵入後すぐに致命的な被害を引き起こすわけではない。まずセキュリティツールによる検出を避けるために、ダウンロードツールのように「一見すると無害なプログラム」を標的のシステムに送り込む。その後、標的システムが実行する通常の処理を装って、より危険なマルウェアをダウンロードするといった攻撃手法を取る。このように複数段階の複雑なプロセスを踏んで、最終的に大きな被害を引き起こすのが近年のサイバー攻撃の通例だ。
侵入後対策を実現するツールとして普及しつつあるのが「EDR」(Endpoint Detection and Response)だ。EDRは「境界防御を突破されて社内システムへの侵入を許したとしても、最終的な攻撃に至る前の準備段階で対処に成功すれば致命的な被害を受けずに済む」という考えに基づく。被害の拡大を食い止めるため、EDRで侵入を検出した後迅速に対処するには、24時間365日体制でシステムを監視する組織「SOC」(セキュリティオペレーションセンター)を運用する必要もある。このためEDRは「高度なスキルを備えたセキュリティ専門家が活用するツール」というイメージを持たれがちだ。
EDRについて正しく理解し、自社に合った機能を備える製品を的確に選定するにはどうすればよいのか。そうした悩みを抱える企業に対してSB C&Sは、EDRの選定における重要な視点として「検出」「分析」「運用性」の3つを挙げ、各視点でチェックすべきポイントを整理した資料を公開している。EDRの基本機能を把握し、比較の要点を学ぶことは、EDR活用に対する具体的なイメージをつかみ、どのようなEDRを自社に導入すべきか、どのような運用体制を構築すべきかを理解する助けになる。資料は以下からダウンロード可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:SB C&S株式会社、ヴイエムウェア株式会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.