PR

 現状の標的型サイバー攻撃対策における大きな課題は、企業におけるインシデントレスポンスが遅いことです。それを改善するための端末調査を実践するに当たって、「EDR(Endpoint Detection and Response)」というエンドポイント解析が新しい対策として登場しています。

 今回は、具体的なEDRの仕組みについて紹介します。従来からある、エンドポイントのセキュリティ対策との違いや、その必要性について詳しく述べていきます。

EDRの実態とは?

 調査会社である米ガートナーの定義では、以下のような四つの主要機能を有している製品をEDR製品と位置付けています。

  1. Detect security incidents.
  2. Contain the incident at the endpoint.
  3. Investigate security incidents.
  4. Remediate endpoints to a preinfection state.
出所:米ガートナーレポート 「Market Guide for Endpoint Detection and Response Solutions、」Published: 30 November 2016 ID: G00298289、Analyst(s): Peter Firstbrook | Neil MacDonald
* 米ガートナーによる注釈「EDR市場において、すべてのベンダーが、これらの4つの機能すべてで成熟しているわけではありません。ガートナーは、このガイドをより実践的にするため、広い参入基準を採用しています」

 これら四つの主要機能について、筆者の見解としての説明をしましょう。「Detect security incidents」はセキュリティインシデントの検知のことで、エンドポイント(クライアントパソコン)における各種プログラムのふるまいを監視し、インシデントの有無を検知する機能です。「Contain the incident at the endpoint」は、エンドポイントでのインシデント封じ込めです。通信を遮断したり、不審なプロセスの実行を止めるなどのコントロールが可能であることを意味します。

 そしてEDR製品で一番重要と考えられるのは、「Investigate security incidents」です。セキュリティインシデント調査のことで、システム上のふるまいを記録することにより実現します。具体的には、ファイルI/O、レジストリ操作、プロセス起動、ネットワークアクセスといった、不正プログラムを追跡する上で必要となる情報を記録します。

 そして、あとからそれらの関係性をつなぎ合わせることにより、侵入から情報送信に至る一連の所作を可視化します。こうすることでシステム管理者は、侵入された対象端末の把握および調査が容易になります。

 最後の「Remediate endpoints to a preinfection state」はエンドポイントの復旧です。不正プログラムの削除や、不正プログラムにより変更された箇所をロールバックまたは回復する機能です。