全1734文字
PR

ユーザー企業がEDRの導入を検討するに当たっては留意しておきたい点がある。決して「導入して終わり」の製品ではなく、使いこなす必要があるという点だ。

自社に合わせてEDRを“磨く”

 ユーザー企業がEDRの導入を検討するに当たっては留意しておきたい点がある。決して「導入して終わり」の製品ではなく、使いこなす必要があるという点だ。

 例えばEDRを導入した全端末から不審な挙動があるたびにアラートが出ると、システム管理者のもとに膨大な量のアラートが届いてしまう。必要十分な量になるようチューニングが不可欠だ。EDRからどのような頻度や粒度でインシデント報告を受け取るのがよいかも、煮詰めておく必要がある。

 EDRの効果を十分に引き出すための手間は軽くはない。自社だけでEDRの機能を“磨く”ことが難しければ、外部の力を借りるのも1つの手だ。

 実際、EDRを全国導入した竹中工務店は当初から外部の運用サービスを前提にEDRを検討した。加えてEDRを社内に本格展開する前に「まず社内の一部で試験導入し、およそ9カ月かけてアラートや調査リポートの内容、連絡スキームなどを当社の態勢に合わせていった」(先進ICT適用企画グループの三宅宗俊氏)という。

 EDRは従来のウイルス対策ソフトと併用するのが一般的だ。まず大方のマルウエアを従来型ウイルス対策ソフトで食い止め、それをすり抜けた攻撃に対してEDRを適用する。そうしてEDRによるアラートの頻度を抑えているのだ。実際に竹中工務店も両者を併用する。「ウイルス対策ソフトによる(マルウエア検知の)“前さばき”があればこそ、EDRが効果を発揮する」(ICT企画グループの高橋均副部長)。EDRはウイルス対策ソフトに取って代わるものではなく、互いに補完関係にあるとの認識だ。

新旧ベンダーの主戦場

 ユーザー企業がEDRを検討する際は、製品ベンダーごとの提供形態の違いも把握しておきたい。

 EDRが台頭し始めたのは、米ガートナーがエンドポイント(端末)の新たなセキュリティー対策としてEDRを提唱した2013年ごろのこと。米国のカーボンブラック(2019年に米ヴイエムウェアが買収)やサイバーリーズン、サイランス(2018年にカナダ・ブラックベリーが買収)といった新興ベンダーが先行した。

表 国内で販売されている主なEDR関連製品
新旧セキュリティーベンダーがこぞって参入
表 国内で販売されている主なEDR関連製品
[画像のクリックで拡大表示]