エンドポイント保護においてEDRは重要な技術だが、「EDRはアンチウイルス製品の延長線」という誤解はいまだに根強い。少人数の運用体制でも使いこなせて有事の際に説明責任を果たせるEDR製品を選ぶには、どのような点に注目すべきか。
ランサムウェア(身代金要求型マルウェア)が猛威を振るう中、従来の境界型防御では攻撃者の侵入を防ぎ切れない。そのため、侵入検知と対処を担うEDR(Endpoint Detection and Response)の必要性に注目が集まっている。
ただし「EDRはアンチウイルス製品の延長線」ではない。このような誤解は今も根強く、「EDRを導入したが使いこなせず、運用はSOC(セキュリティオペレーションセンター)サービスに任せている」という企業は後を絶たない。インシデントが発生した際は被害の度合いや影響範囲などを経営層や取引先に迅速に説明する責任があるが、EDRの運用管理を外部サービスに任せ切りにしていては自社のセキュリティ担当者がすぐに状況を把握できず、適切な判断を下せない恐れがある。
自社でEDRを運用するとしても、アラートの重要度を読み解いて対処の優先度を判断するだけで手いっぱいになりがちだ。EDR製品の設定によっては担当者の対処が追い付かないほど膨大なアラートが飛んでくる場合があり、いわゆる「アラート疲れ」は運用管理における課題として深刻視されている。
EDRの選定基準として、「これがあれば説明責任を果たせるか」という視点が重要だ。少人数のチームでも的確にインシデントに対処し、説明責任を果たせるEDR製品に乗り換えるのならば、どのようなポイントで製品を選ぶのがよいのか。本稿は、そのヒントを提示する。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:サイバーリーズン合同会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。