企業に甚大な被害をもたらすランサムウェア。この記事では前後編に渡り、最新動向の解説と対策の要として浸透したEDR、そこから進化したXDRがどのような効果をもたらすかをご紹介します。後編ではEDR、そして昨今注目を集めるXDRを検討する際に抑えておきたいポイントについて解説します。（前編のブログはこちらからご覧いただけます）

ランサムウェア対策の要、EDR

二重脅迫やノーウェアランサムなど、攻撃手法は次々と進化していますが、攻撃者の狙いは重要データであるという点は変わりません。そのため、それらが保存されているPCやサーバなどのエンドポイントの強化はランサムウェア対策で最重要となります。中でも、攻撃者による侵入を前提として設計されたEDRはランサムウェア対策の最後の砦となる重要なソリューションといえます。

［図］ランサムウェア攻撃の遷移

EDRはランサムウェア対策にどのような効果を発揮するのでしょうか？ここからは実際の攻撃の流れに照らしあわせて解説していきます。

まず、多くの攻撃者が侵入後に行うことが権限昇格です。権限昇格には、システム内の脆弱性を悪用することや、プロセスにコードを注入するなどの手法がありますが、EDRはこれらの不正な試みを振る舞いベースで検知することができます。その後、攻撃者はネットワーク内のほかの対象に移動し、侵害範囲を広げるためにラテラルムーブメント（水平展開）を行います。この際にはRDPやSSH、VNCなどが利用されますが、EDRは異常なリモートサービスの動きを検知することができます。

また、EDRはそれ以外にもさまざまな疑わしい活動パターンや悪意のある振る舞いを検知し、アラートを発信します。その後、プロセスの終了、通信の遮断、ファイルの隔離、端末の論理隔離などの対応を迅速に実施し、攻撃の封じ込めを行います。このように複数の攻撃フェーズの検知に対応し、早急な対処によりデータの漏えいやシステム停止など実際の被害を最小化することが可能なEDRは高度化、巧妙化し続けるランサムウェア対策に必要不可欠なソリューションといえます。

EDR導入だけではまだ不十分？対策の盲点とは

EDRはエンドポイント上の不審な振る舞いを検知するランサムウェア対策に有効なソリューションです。一方でその特性上、効果を発揮することが難しい領域も存在します。ここでは特に見過ごされがちなポイントを３つ取り上げて解説します。

その1 EDR未導入端末の存在

EDRの利用には保護対象のエンドポイント上にエージェントソフトのインストールが必要になります。しかし、各部門やグループ会社、海外拠点が独自で導入した端末やサーバなど、社内の全端末にEDRが導入できていないケースも多く見受けられるのも事実です。

セキュリティ対策の弱い部分を足掛かりにし、組織への侵入を試みるサプライチェーン攻撃が増加する今、EDRの導入範囲を適切に拡大していくことは非常に重要です。一方で、未導入端末の存在をゼロにすることが現実的に難しい場合はFWやSASEなどを活用しネットワーク側からの対策強化を行うことも必要です。

その2 正規資格情報の悪用

攻撃者が初期の侵入やラテラルムーブメントを試みる際にリモートデスクトップを利用することがあります。その際に不審な動きが発生した場合はEDRでの検知が可能ですが、もし攻撃者がIABやダークウェブ上から正規のID、パスワードなどの資格情報を入手していた場合、認証を突破する段階ではEDRに検知されず、攻撃が進行してしまう恐れがあります。

このような場合には認証基盤側で不正な通信元からの通信や、漏えいが疑われる資格情報の利用を防止する対策が求められます。

その3 クラウドストレージなどの正規サービスの利用

前編での解説の通り、攻撃者はデータを窃取する際に正規のクラウドストレージを利用するケースが多く存在します。このようなサービスに対する通信やデータのアップロードをEDRだけでは異常と判断することは難しく、情報の漏えいを未然に防ぐことができない恐れがあります。

このような脅威に対応するためにも、企業はSASE(Secure Access Service Edge)、CASB(Cloud Access Security Broker)を活用し未許可のクラウドアプリケーション利用を監視、制御することが重要になります。このようにEDRの特性を正しく理解し、必要に応じてほかのソリューションと相互に補完をし、企業のセキュリティシステム全体での網羅性、レベルの向上を目指すことが重要になります。

全方位のセキュリティ対策を実現するXDR

セキュリティ製品にはそれぞれ強みや弱みが存在しますが、複数の製品を導入することで相互に補完することが可能となります。そしてただ併用するのではなく、検出精度や対応力をさらに向上させることを可能にするのが、昨今注目を集めるXDR(eXtended Detection and Response)というソリューションです。XDRではEDRに加え、ネットワーク、クラウド、認証などを含めたセキュリティ監視を統合することで、従来のバラバラの状態では実現できなかったより高度、かつきめ細やかな対応を実現することを可能にします。

XDRは企業のITインフラ全体に存在するさまざまなセキュリティ製品からのデータを収集し、相関関係を分析することで、高精度な脅威検知を実現します。これにより、従来のセキュリティ対策では見逃される可能性があった脅威にも対応できる高いレベルのセキュリティ対策を実現します。

また、検知した脅威に対して自動的な対処を行い、早期の封じ込めによりリスクの拡大を防止します。そして、XDRでは横断的な監視、運用を実施しているため、単体製品だけでの運用に比べて、より効果的なポイントや手法での対処を実現することも可能です。例えば、EDR単体では検知が難しい脅威をネットワークセキュリティ製品や認証基盤で検知した場合もEDRと連携し端末をネットワーク環境から隔離するといった対処が可能になります。

高度化し続けるサイバー攻撃に対応するため、セキュリティ対策製品も進化し続けています。それぞれが連携しその豊富な機能やそこからもたらされる情報を連携することで最大限の効果を発揮する仕組みを構築していくことが可能なXDRはこれからのセキュリティの中心的な役割を果たしていくと言えるでしょう。

まとめ

デジタル化が進む現代社会にとって大きな脅威であるランサムウェア。企業における対策の重要性が高まる中、その進化し続ける攻撃手法に対応した仕組みを構築することが求められています。ソフトバンクでもEDR、そしてXDRにも対応したマネージドセキュリティサービスによる24時間365日のセキュリティ監視をご提供しています。専門的な知見や複数の脅威インテリジェンスによる高度な分析やソフトバンク独自のシステムにより迅速な自動対処を実現しています。ランサムウェアをはじめとしたサイバー攻撃の要となるEDR、そして新たに登場したXDRの活用をぜひご検討してみてはいかがでしょうか。

マネージドセキュリティサービスについて詳しくは以下のリンクからご覧いただけます。

・マネージドセキュリティサービス

関連セミナー・イベント

同じカテゴリーの記事をみる