標的型サイバー攻撃の新しい対策として、エンドポイント(パソコン)のシステム上のふるまいを検知・記録する「EDR(Endpoint Detection and Response)」と呼ばれる分野の製品が登場しています。今回はこうしたエンドポイント解析によって、どのような具体的な効果が得られるのかを、みていきましょう。
EDRがもたらすのは二つの可視化
EDRを利用したエンドポイント解析を行うと、二つの観点での可視化が実現できます。
一つは、「被害端末の発見」です。URLやファイル名のようなキーワードまたはIOCファイルを利用し、各端末(エンドポイント)で記録したシステムログに対して検索を行うことで、不正プログラムや侵入の痕跡があるのは、社内のどの端末かをあぶり出せます(図1)。システム管理者は、EDR製品の管理ツールを使って、その結果を確認します。
例えば、ネットワーク監視ツールなどからC&CサーバーのURLが判明していれば、それをトリガーとして検索することで、どの端末がそのC&Cサーバーにアクセスしたことがあるかが判明します。不正プログラムのファイル名やファイルのハッシュ値があれば、それらの情報を使って、社内の端末内に潜んでいないかがチェックできます。
既知のセキュリティインシデントについては、ベンダーがIOCファイルを提供するケースもあります。ただ、まだそう多くはないのが現状です。
もう一つは、「侵入原因・侵入経路・被害の可視化」です。被害端末を特定し、その端末上で、どんなプログラムがどこから侵入し、どういった処理を実行し、どんな情報をどのような経路で外部に送信したか、一連の流れを追跡できます。不正プログラムがOS(Windows)をどう改ざんしたか、どのコマンドを実行したかなど、詳細な動きを把握できます。
