現状の標的型サイバー攻撃対策における大きな課題は、企業におけるインシデントレスポンスが遅いことです。それを改善するための端末調査を実践するに当たって、「EDR(Endpoint Detection and Response)」というエンドポイント解析が新しい対策として登場しています。
今回は、具体的なEDRの仕組みについて紹介します。従来からある、エンドポイントのセキュリティ対策との違いや、その必要性について詳しく述べていきます。
EDRの実態とは?
調査会社である米ガートナーの定義では、以下のような四つの主要機能を有している製品をEDR製品と位置付けています。
- Detect security incidents.
- Contain the incident at the endpoint.
- Investigate security incidents.
- Remediate endpoints to a preinfection state.
* 米ガートナーによる注釈「EDR市場において、すべてのベンダーが、これらの4つの機能すべてで成熟しているわけではありません。ガートナーは、このガイドをより実践的にするため、広い参入基準を採用しています」
これら四つの主要機能について、筆者の見解としての説明をしましょう。「Detect security incidents」はセキュリティインシデントの検知のことで、エンドポイント(クライアントパソコン)における各種プログラムのふるまいを監視し、インシデントの有無を検知する機能です。「Contain the incident at the endpoint」は、エンドポイントでのインシデント封じ込めです。通信を遮断したり、不審なプロセスの実行を止めるなどのコントロールが可能であることを意味します。
そしてEDR製品で一番重要と考えられるのは、「Investigate security incidents」です。セキュリティインシデント調査のことで、システム上のふるまいを記録することにより実現します。具体的には、ファイルI/O、レジストリ操作、プロセス起動、ネットワークアクセスといった、不正プログラムを追跡する上で必要となる情報を記録します。
そして、あとからそれらの関係性をつなぎ合わせることにより、侵入から情報送信に至る一連の所作を可視化します。こうすることでシステム管理者は、侵入された対象端末の把握および調査が容易になります。
最後の「Remediate endpoints to a preinfection state」はエンドポイントの復旧です。不正プログラムの削除や、不正プログラムにより変更された箇所をロールバックまたは回復する機能です。
