EDRでセキュリティの現場が変わる

　標的型攻撃といわれる高度なサイバー攻撃は、その検知までに「平均200日」かかるという通説があります。一方で、ある程度の技術を持った攻撃者が、その攻撃を成功させるまでにかかる日数は「平均4-6日」と言われています。

　この時間の「ギャップ」が示すとおり、異常検知能力や異常を検知してからの対処能力の向上がまだまだ課題であることは明らかだと言えるでしょう。

　これまでも攻撃者側の手口に学び、対抗手段としての「防御・検知」の仕組みは高度化してきました。しかしながら、インシデント対応の現場では異常を発見してからの対処、すなわち「レスポンス」の質が成熟しておらず、この点がボトルネックになっているように感じます。

　例を挙げると、企業が標的とされるようなサイバー攻撃に遭遇した際には、以下のような問題に直面します。

　このような状況をご想像できるでしょうか。

　セキュリティインシデントに遭遇したとき、適切な対応の判断を行うには、一定の意思決定材料が必要です。しかし、こうした諸問題が障害となって結果的に材料が不足し、適切な判断が困難になるということがほとんどなのではないかと推測しています。

「EDR」の登場

　このような状況を受けて、近年、一歩進んだ対処を可能とするEDRと呼ばれるソリューションが登場しており、数十社以上のベンダーが製品を発表しています。

EDR導入ガイド　ー インシデント前提社会の最適解 ー

　世界最大のITアドバイザリ企業のガートナーでも、2017年の注目すべきセキュリティのトップ・テクノロジにEDRを選出し、次のように説明しています。

　また、同様にガートナーはCISOが注目すべき2018年のセキュリティ・プロジェクトのトップ10にも「検知／対応」を選出し、EDRを選択肢の1つにあげるなど、継続して注目度が高いことがわかります。

　EDRに求められる能力、製品が持っている能力を簡単にまとめると次の３つとして整理できます。

　筆者は、業務の中でインシデント対応にあたることが多いのですが、前述のような課題感から特に3つめの機能「調査能力」に注目しています。

　この機能の有用性について端的に言うと、多数の端末上で処理される電磁的記録の変更履歴をリアルタイムで収集・分析しておくことです。これによって以下のようなメリットを享受できるようになります。

　・異常を検知した時点で過去の状態を時系列で調査することができる

　・リアルタイムに状態が可視化されるため、現時点での被害の広がりを把握できる

　調査対象から必要なデータを常に収集するため、データが残りにくい仮想化環境や、調査のために停止できないサーバなどは、特に大きなメリットがあると考えられます。

　これによって、検知を一定期間すり抜けたケースなどでも、

　「過去何が起こったのか」

　「どのような攻撃を受けたのか」

　「被害がどれくらいの規模に及んでいるのか」

といった調査が、従来の調査と比較して高速・容易に実施することができます。これによって、より迅速で正確な意思決定をすることが可能となるのです。

EDRをどのように考えるべきか

　インシデント対応における「レスポンス」の領域で期待されているEDRですが、多様な製品があるため、機能の特色などのバリエーションが多く選定が悩ましいです。また、投資効果について疑問視する見方もあります。しかしながら、市場の注目度は非常に高く、従来の課題を解決するソリューションとして、深刻な事案にも対応できる十分な機能を備えた製品群に育っていると考えています。

　こうした状況を踏まえると、中長期的な「インシデント対応のあるべき姿」を目指しながら、まずは新たな概念のEDRを試してみる。そして、そこから得られたナレッジを基にして、自社の対応スキルや成熟度を高めていくという取り組みが、「インシデント対応のあるべき姿」への近道なのではないかと考えています。

　まずはEDRが保有している機能を調査した後に、トライアル（Proof of Concept）に重きを置き、自社の人員で実運用に耐えられる製品かどうかを確かめることが重要です。

　なお、自社での運用が難しい場合は、NRIセキュアで「マネージドEDRサービス」というEDRの運用サービスも行っておりますので、こちらもぜひご活用ください。

NRIセキュア：マネージドEDRサービス