サイバー攻撃をリアルタイムに可視化する防衛ソリューション、EDRが注目される理由

EDR KV (2021年11月11日 掲載)

2014年にアメリカの大手ソフトメーカの重役が「ウイルス対策ソフトは死んだ」と発言しました。それを裏付けるように、ウイルス対策ソフトを使用しているにも関わらずサイバー攻撃の被害に遭い、感染してしまう企業が増えています。これはウイルス対策ソフトがウイルスに対して絶対的な防御にはならないことを示しています。もちろん、ウイルス対策ソフトは企業の情報を守るうえで重要ですが、それを補完する機能としてサイバー攻撃の被害を最小限に抑えるEDR(エンドポイント・ディテクション・アンド・レスポンス)が注目を集めています。

目次

EDRとは

EDRとは、PCなど端末に攻撃が侵入した際、その影響範囲や侵入の経路を特定して、速やかな対処に繋げるツールの総称です。サイバー攻撃に対抗する手段として広く用いられているウイルス対策ソフトが攻撃を水際で防ぐことを目的としているのに対し、EDRは攻撃が侵入することを想定したうえで、被害の抑止や脅威の排除を行います。

ウイルス対策ソフトだけでは大切な情報を守れない

企業を狙うサイバー攻撃の手口がますます巧妙化しています。企業への攻撃を試みる者は、一般的に流通しているウイルス対策ソフトを入手した上で、自分が用意したウイルスに対してどのように反応するかを試し、検知されないように調整した上で企業を攻撃します。一方、ウイルス対策ソフトを作っているメーカは出回っているウイルスを入手し、解析が済んでからソフトを更新する「パターンマッチング」という方法で対応しています。しかし、こうしたメーカ側の対応は日々大量のバージョンが生まれているウイルスの作成スピードに追いついていません。
またテレワークなど、オフィス以外での勤務が増え、従来のように職場で端末を集約的に管理することが難しくなったことも情報セキュリティに影響を与えています。社内のネットワークに接続されていない間はウイルス対策ソフトが適切に更新されないため、社外に持ち出されている端末は新種のウイルスへの対応が遅れてしまい、サイバー攻撃へのリスクが高まります。
さらに、ウイルス対策ソフトは外部からの攻撃を防ぐことに念頭が置かれているため、攻撃の経路特定など根本的な原因解明ができないという問題があり、それを解消するためにもEDRをセットで活用することが重要です。

EDRの機能と導入メリット

EDRの主な機能と導入メリットをご紹介します。

攻撃の可視化

サイバー攻撃を受けた際、状況を可視化できます。「攻撃がどの端末で、どのタイミングで発生したか?他の端末への影響は?」を自動的に判別・解析し、可視化してユーザに提供できる点は、EDRの最も重要な機能です。対処が遅れれば企業の組織やネットワーク全体へ悪影響を及ぼす恐れがあるサイバー攻撃を、初期の段階で把握して対処することで、被害を最小限に抑えることが可能になります。
また、サイバー攻撃を受けた原因を明確にとらえることで、発生した問題に対する対処が迅速におこなえます。利害関係者への報告や謝罪など事後対応において、原因を示しつつ今後の改善も含めて説明できるようになり、信用の失墜を食い止めることにつながります。

監視とリアルタイム検知

EDRはサイバー攻撃の侵入にリアルタイムに反応する必要があるため、ネットワークに繋がっている端末を常時監視し、収集したデータを解析しつつ、攻撃されている端末があれば検知してネットワークから切り離し、被害の拡大を防止します。

攻撃の振舞い分析

EDRはネットワーク内の端末で実行されている攻撃の振舞いをAIなどで分析・検知して早期の対応へとつなげることができます。ウイルス対策ソフトでは防御することが困難な、進化の早いウイルスに対しても対処が可能になります。

最後に

本記事ではサイバー攻撃に対抗するためにはウイルス対策ソフトのみでは不十分であり、攻撃を受けた後に被害を最小限に抑えるEDRとの併用が有効であることをご紹介しました。サイバー攻撃は猛烈な速さで進化しており、「防御」だけではなく「攻撃を受ける」ことを前提とした情報セキュリティの構築が必要になっています。下記にソフトバンクから提供しているEDRサービス「Cybereason」の資料がございますので、ぜひこちらもご覧になりEDRのさらなるご理解の助けとしていただければ幸いです。

(文 : 永沼)