シェア
ツイート

2019年11月12日

 

EDRとは?従来のセキュリティソフトとの違い

次世代のセキュリティツールEDRとは

近年では、多くの企業がICTによる業務効率化に取りくみ、多くの成果を上げています。
そのような時世で、ICTツールによる業務の自動化、情報共有・分析は、採算性の向上に必須となりましたが、機密情報漏えいやサイバー攻撃によるシステムダウンなどの被害もニュースになっています。

企業活動の多くが電子化されている現在、より高度なセキュリティ態勢の確立がリスク管理、BCPなどの観点での重要性を増しています。

今回は、一歩進んだセキュリティを実現するEDRについて紹介します。

EDRとは

新たなセキュリティツールとして採用が広がるEDRの特徴について紹介します。

既存のセキュリティツールとの違い

既存のツールはマルウェアの侵入を防ぐ、いわばセキュリティゲートの役割を果たします。Webやメールなどを通じて受信したデータをスキャンし、マルウェアか否かを判断する方法で、これは指名手配書を元に犯罪者を探すようなものです。周知されたリスクは確実に止められますが、初犯の犯人を見つけるのは困難です。

EDRでは、侵入した人々の動きを観察し、怪しい動きをしている犯人を特定するという手法を駆使します。初めて見るマルウェアであっても、「ファイルに過剰にアクセスを繰り返す」「機密情報を社外に送信しようとしている」など、異常な振る舞いを見てマルウェアとして検出するのです。

EDRの仕組み

従来型ウイルス対策はウイルス定義情報との突き合わせでマルウェアを検知するため、未知のマルウェアを検知及び対応することができません。しかし、サイバー犯罪のマルウェアはほとんどが未知のウイルスであるため、従来型ウイルス対策はサイバー犯罪に対抗できない状態です。

EDRはマルウェアの振る舞いから不審な点を分析し検知するなどウイルス定義情報だけに依存しないウイルス対策です。検知したものは自動的に定義化、ウイルス定義情報も活用しますので、既知のマルウェアにも対応できる新たなウイルス対策です。

また、EDRには攻撃を検知し被害範囲を特定し、封じ込み、被疑端末を調査する3つの仕組みを用意しているため、迅速かつ効果的な事後対応を実現します。

EDR が必要な理由

セキュリティリスクの現状でも述べたようにさまざまな手法サイバー攻撃があり、従来型ウイルス対策システムの限界があります。

サイバー犯罪者用のサービス(MaaS)により、攻撃の都度マルウェアがカスタマイズしていくため、従来型ウイルス対策の要となるウイルス定義・評判情報の更新が追い付かない状況です。さらいには、ファイルレスマルウェア等、新しい攻撃手段の出現し、従来型のウイルス対策では対応できない領域で攻撃される可能性もあります。また、サイバー犯罪被害は全て防ぐことはできないので、被害が起きたことを前提に立った事後対応策は必須ともいえます。

EDRだと未知のマルウェアを検知のみならず、万が一被害があった場合は迅速な初動対応により、事業活動影響の極小化を目指すことができます。

EDRの効果

被害を受けたことが判明しても、データの改ざんや漏えいした情報を把握できなければ、対処のしようがありません。EDRはマルウェアの振る舞いを監視しているため、万が一マルウェアによる被害が発生しても、被害を受けたファイルを切り分けられ、迅速な対処が可能です。

セキュリティリスクの現状

サイバー攻撃や情報漏洩などのニュースが多く報道される昨今、ICTにおけるリスクの現状はどのようになっているのでしょうか。

増加の一途をたどるセキュリティリスク

企業活動が電子化され、ICTを活用した経済活動の比率が高まると、それに比例してそのリスクも増加します。フィッシング詐欺、メール・Webを通じてのマルウェア感染、DDoS攻撃、標的型攻撃、ソーシャルハッキングなど、手法はさまざまです。従来はマルウェアやセキュリティホールへの対策を逐次行っていましたが、攻撃手法の変化速度が速すぎて追いつかないという問題があります。セキュリティパッチが配布される前に脆弱性を攻撃する、いわゆるゼロデイ攻撃が大きな問題となっているのです。

セキュリティ対策の傾向

Windowsの最新バージョンであるWindows 10 は今後メジャーアップデートを行なわず、小刻みなアップグレードを継続的に実施することになりました。これはセキュリティ向上や最新機能へタイムリーな対応が求められたからです。

ゼロデイ攻撃対処としては、リストには載っていない未知のマルウェアであってもNGAVにより検知できる技術が開発されています。そんなNGAVに代表されるマルウェアの侵入を検疫する技術が強化され続けている一方で、新たな手法としてセキュリティを通り抜けたマルウェアが行う異常な振る舞いを感知、対策するEDRツールが注目を集めています。

NECフィールディングが提案するCb Defense

NECフィールディングがご提案するのはEDRの草分け的存在であるCb Defenseです。

Cb Defenseとは

Cb Derfenseは、EDRツール生みの親のMichael Viscusoが立ち上げたCarbon Black社のEDRツールです。セキュリティ効果の評価で最高クラスの評価を得ており、全世界3000社の、900万台以上の端末のセキュリティ実績を持っています。

Cb Defenseに出来ること

Cb Defenseには次のような特徴があります。

  • ・既知のマルウェアに加え、未知のマルウェアも検知し、ゼロデイ攻撃を防止
  • ・エンドポイントを監視して万が一感染した場合も被害範囲を確定
  • ・クラウドサービスにより管理サーバ不要、端末CPUへの付加は1%以下

まとめ

従来型のセキュリティツールでは、日々進化するマルウェアの攻撃に万全とは言い難くなってきています。Cb Defenseであれば、NGAVとEDRの双方で、侵入ゲートでのセキュリティチェックと、エンドポイントの振る舞い監視が行えます。

顧客情報漏えいやデータ改ざんなど、経営上のリスク対策を検討される際には、EDRを含めた最新のセキュリティツールの導入をぜひご検討ください。

NECフィールディングへのお問い合わせはこちらから
シェア
ツイート

人気記事ランキング

  1. 第14回 Windows 10 で2画面や4分割でサクサク作業しよう
  2. 第102回 Windows 10 で録音する方法が知りたい!
  3. 第73回 Windows 10 の文字入力がおかしくなるときの解決法

Copyright © NEC Fielding, Ltd, 2023. All rights reserved.