近年、クラウドサービスの普及やテレワーク制度の浸透に伴い、ゼロトラストセキュリティの重要性が高まっています。そんなゼロトラストモデルのセキュリティ環境を構築するうえで、不可欠となるのが「EDR」です。本記事では、EDRの概要について詳しく解説するとともに、おすすめのソリューションを紹介します。
エンドポイントとは
「EDR」とは、エンドポイントの挙動を常時監視し、マルウェアや不正アクセスなどの脅威を検出・対処するセキュリティソリューションです。エンドポイントとは、インターネットや社内ネットワークに接続されたPCやサーバー機器、モバイルデバイスなどの「端末」を指します。詳しくは後述しますが、社内ネットワークに接続された端末を監視し、異常や不審な挙動を管理者に通知するのが、EDRの主な役割です。
エンドポイントセキュリティは、「ゼロトラストモデル」に基づくセキュリティ体制を整備するうえで欠かせないシステムです。ゼロトラストモデルとは、Forrester Research社のジョン・キンダーバーグ氏によって提唱された概念で、「あらゆるリクエストを信頼しない」という前提に基づき、厳格なユーザー認証やエンドポイントの監視を実行するセキュリティモデルを指します。
従来では、インターネットと社内ネットワークの境界にファイアウォールを設置し、攻撃者を境界の内側に侵入させないことで安全性を確保する、「境界防御型」のセキュリティモデルが一般的でした。しかし、クラウドサービスやテレワークの普及によって、社内ネットワークにおける内外の境界が希薄になりつつある今、従来の境界防御型のセキュリティモデルでは、組織の情報資産を保護するのが困難となっています。
そこで必要とされているのが、社内・社外という境界に縛られることなく厳格な認証を実行する、ゼロトラストモデルのセキュリティ体制です。ゼロトラストセキュリティを確立するためには、PCやモバイルデバイスなどのエンドポイントへ侵入しようとするサイバー攻撃を検知するシステムが必要となります。その役割を担うのが、EDRのようなエンドポイントセキュリティに特化したソリューションです。
エンドポイントセキュリティの種類
マルウェアや不正アクセスなどのサイバー攻撃は年々巧妙化しており、さらにクラウドサービスやテレワークの普及によって従来のセキュリティが通用しなくなりつつあるため、エンドポイントセキュリティの重要性が増しています。エンドポイントの監視・制御を実行するセキュリティソリューションには、いくつか種類があります。そのなかで代表的なものは、「EDR」と「EPP」の2つです。
①EDR
冒頭で述べたように、EDRはPCやモバイルデバイスなどのエンドポイントを監視し、マルウェアや不正アクセスといった脅威の侵入を自動的に検知・対処します。EDRとは「Endpoint Detection and Response」の略称で、「Endpoint(端末)」を監視し、異常を「Detection(検知)」し、調査・修復といった「Response(対策)」を実行することが名前の由来となっています。
EDRは「監視」「ログ」「検知」「隔離」「修復」という5つの要素によって構成されており、その機能を駆使して「Endpoint」「Detection」「Response」のプロセスを実行します。具体的には、社内ネットワークに接続されている端末を「監視」して「ログ」に残し、記録された情報を基に不審な挙動を「検知」すると同時に、端末をネットワークから「隔離」します。そして、検出された不審なファイルを駆除して「修復」することで、エンドポイントの安全性を確保するのです。
②EPP
EPPとは「Endpoint(端末)」「Protection(保護)」「Platform(基盤となる環境)」の頭文字をとった略称で、マルウェアの感染防止に特化したセキュリティソリューション全般を指す用語です。EPPに該当するセキュリティソリューションの代表例としては、アンチウイルスソフトウェアが挙げられます。アンチウイルスソフトウェアは、あらかじめ定義されたファイルと対象を比較する「パターンマッチング方式」や、異常な挙動の有無を調査する「ヒューリスティック方式」などを用いて、マルウェアの感染を防止します。
EPPとEDRは同じエンドポイントセキュリティですが、それぞれの役割は明確に異なります。EPPはマルウェアの感染防止を目的とするシステムですが、EDRは感染防止だけでなく、セキュリティインシデント発生後の被害を最小限に抑えることを目的としたソリューションです。現状、マルウェアの感染を完全に防ぐのは非常に困難なため、アンチウイルスソフトウェアのようなEPPだけでなく、インシデントの発生を前提としたEDRが不可欠と言えるでしょう。
代表的なEDR製品
ゼロトラストモデルのセキュリティ体制を整備するためには、エンドポイントを監視・制御するEDR製品の導入が不可欠です。さまざまな企業から多種多様なソリューションがリリースされているため、EDR製品を導入する際は、自社のシステム環境や事業形態に適したものを選定しなくてはなりません。代表的なEDR製品として挙げられるのは、以下の3つです。
- BlackBerry® Optics
- Apex One Endpoint Sensor
- Cybereason EDR
①BlackBerry® Optics
「BlackBerry® Optics」は、BlackBerry Limited社が提供する「BlackBerry Protect」のオプションの1つで、AI技術を活用したEDR製品です。脅威に対する自動的な検知・対処に重点を置いており、インシデントの未然防止にフォーカスしたソリューションと言えます。クラウド型のEDR製品であるため、ITインフラを増設・拡張せずとも比較的容易に導入可能です。
②Apex One Endpoint Sensor
「Apex One Endpoint Sensor」は、サイバーセキュリティ企業のトレンドマイクロ社が開発するEDR製品です。同社のエンドポイントセキュリティの中核製品、「Trend Micro Apex One」におけるオプション機能として提供されます。ネットワークの内外を問わずエンドポイントのログを記録し、豊富な検索パラメータによってサイバー攻撃の侵入経路や感染原因などを可視化することで、さまざまな脅威に対して迅速な対応が可能です。
③Cybereason EDR
「Cybereason EDR」は、米国のサイバーセキュリティ企業であるCybereason社が提供するEDR製品で、2018年度のEDR市場でトップシェアを誇るソリューションです。組織が保有するすべてのエンドポイントの挙動を監視し、マルウェアや不正アクセスなどの兆候を洗い出すことで、サイバー攻撃の全体像を可視化します。インシデントの検知後は、攻撃の詳細を管理画⾯に伝達してくれるため、迅速かつ的確な対処が実現できます。
まとめ
年々巧妙化するサイバー攻撃の脅威から情報資産を保護するためには、新しい時代に即したセキュリティ体制の構築が求められます。ニューノーマル時代を迎えた現代において、もはや従来の境界防御型のセキュリティモデルでは、マルウェアや不正アクセスなどの脅威に対応しきれません。境界防御型に代わるゼロトラストモデルのセキュリティ環境を整備するためには、EDRやEPPを用いたエンドポイントセキュリティが必要と言えます。
また、堅牢なセキュリティ体制の構築を目指すのであれば、「HENNGE One」の導入もおすすめです。HENNGE Oneは、さまざまクラウドサービスへのセキュアなアクセスを実現するSaaS認証基盤であり、ゼロトラストセキュリティの構築に寄与するソリューションです。クラウド環境やリモート環境における強固なセキュリティを確立するためにも、HENNGE Oneの導入を検討してみてはいかがでしょうか。
