近年、エンドポイント(本稿ではPCやサーバなどの端末を指す)のセキュリティ対策として、EDRが注目されています。EDRを導入することで、エンドポイントの脅威を検知・防御するだけでなく、発生したインシデントの対処や事象の明確な説明が可能になります。
昨今の高度化した攻撃に対して、十分な防御や有事の説明能力を獲得するためにはEDRの持つ防御能力や脅威の可視化能力、対処能力が必要であると広く認知されつつあり、多くのお客様が具体的に導入を検討されています。その検討段階では、次のような課題がよく挙げられます。
- 導入済みのアンチウイルス製品と目的やアーキテクチャが類似しているため、移行により期待できるセキュリティ効果の説明が難しい
- 導入済みのアンチウイルス製品のライセンスの利用可能期間がまだ残っているため、移行期間としてEDRを並行稼働する必要があるが、移行の進め方がわからない
本記事では、従来型のアンチウイルス製品からEDRへの移行における課題を解決するため、レガシーAVとEDRの差異を明確にしつつ、具体的な事例を交えて移行の考え方について解説します。
※本記事での「レガシーAV」とは、対象となるファイルをシグネチャ(既知のマルウェアにおけるバイトコードやハッシュ値などを詰め込んだデータベース)と照合してマルウェアを検知する製品を指します。いわゆるシグネチャマッチングと呼ばれる手法を主力としたファイルベース検知を行うアンチウイルス製品です。
なぜ移行すべきなのか
従来のエンドポイントのセキュリティ対策と言えば、レガシーAVが主流でした。しかし、今や大半のEDR製品は次世代アンチウイルスを搭載し、レガシーAV製品の機能を包含・改善しているため、多くの組織がレガシーAV製品の採用を廃止し、EDR製品への一本化を進めています。EDR製品への一本化により、これからを見据えた様々なメリットを享受できます。
- 品質面:アンチウイルス機能とEDR機能の連動性が強化され、防御やインシデント対応の品質が向上する
- 運用面:運用リソースが単一製品に集約され、維持管理やインシデント対応にかかる作業プロセスが効率化する
- 費用面:ライセンス費用・運用費用・負荷が削減され、TCO(Total Cost of Ownership)が低下する
弊社のお客様においても、EDR製品への一本化によってインシデントの対応時間が以前より75%程度短縮できたケースがあります。国内では特にIT人材の不足問題も深刻なため、コストを考える際には、実際にEDR製品を試用し、対応に関わるリソース(工数)などを計測することが大切です。
レガシーAVとEDRの差異
まず、レガシーAVとEDRの差異を整理します。(なお、レガシーAVおよびEDRの定義は様々ですが、本記事では本節で定義した意味として、これらの用語を使用します。)
端末にインストールされたレガシーAVは、ファイルの書き込み・読み込み・実行などのタイミングにおいて、対象となるファイルの情報をシグネチャと突合し、当該ファイルがマルウェアであるか否かを判断します。
対象の情報とシグネチャを突合する方式のため、False Positive(無害なソフトウェアを悪性として誤検出すること)が発生しにくい利点がある反面、マルウェアを用いた攻撃(ファイルベース攻撃)全体のうち、シグネチャの存在するマルウェア(既知のマルウェア)を用いた攻撃しか検知できないという欠点があります。すなわち、シグネチャの存在しないファイル(未知のマルウェア)や、マルウェアを用いない攻撃(ファイルレス攻撃:スクリプトやOS標準コマンドによって構成され、実行ファイルを用いない攻撃)を検知することができず、レガシーAVだけでは昨今の高度・複雑化する脅威に対応することは困難と考えられています。
また、レガシーAVは脅威の検知に特化した製品であるため、検知をすり抜けた脅威に対処する機能を何も持っていません。レガシーAVの検知をすり抜けたマルウェアが端末に感染した場合、マルウェアによって何が行われたかを調査したり、感染拡大を防ぐために端末を隔離したりすることはできないため、感染発覚後の対応や、第三者への説明が非常に困難になります。
一方、EDRはエンドポイントのセキュリティ対策としてどのような効果が見込めるのでしょうか。一般的に、EDRは少なくとも以下の4機能を備えた製品です。(逆に、これらの機能を備えていない場合、EDRとして十分な機能を備えていない可能性があると考えます。)
- 端末動作から脅威を検知(検知機能)
- 端末動作のほぼ全てをログとしてリアルタイムにサーバに記録(記録機能)
- インシデントの全容をログから調査(調査機能)
- インシデントを封じ込めるためにリモートから端末に対処(対処機能)
特に検知機能では、レガシーAVのようにシグネチャだけに依存することなく、端末上で発生したあらゆる挙動に基づいて脅威を検知するため、レガシーAVでは困難であった未知のマルウェアやファイルレス攻撃の検知も可能になります。また、検知機能だけでなく記録・調査・対処機能を備えるため、検知を逃れた脅威にも対応可能です。
以上をまとめると、EDRはレガシーAVよりも高度な検知機能を備え、レガシーAVにはない記録・調査・対処機能を備える製品であると言えます。
図1:レガシーAVとEDRの代表的な差異
ただし、実行ファイルに関するログしか記録しない製品や、(検知機能によって)検知された事象に関するログしか記録しない製品など、事後の調査や対処に活用することが困難な製品も存在するため、注意が必要です。
移行の考え方
動作干渉に配慮しながら移行する
前節では、EDRはレガシーAVの上位互換的な性能を備えることを解説しました。EDRを導入すれば、レガシーAVと比べてセキュリティレベルを大幅に向上させることができると言えます。しかし、以下のような理由から、EDRを導入してもレガシーAVを直ちに廃止できない状況が散見されます。
- レガシーAV製品のライセンス期間が残存しており、期間満了まではレガシーAVを廃止できない
- EDR製品の動作検証をしなければEDRを導入できないが、動作検証期間中はレガシーAVとEDRを並行稼働させなければならない
- セキュリティ対策の追加(EDRの導入)は社内合意を得やすいためすぐに実施できるが、削減(レガシーAVの廃止)は社内合意を得にくいためすぐに実施できない
ところが、単一の端末にレガシーAVとEDRをそのまま同時に導入すると、動作干渉による不具合が懸念されるため、一般的に推奨されません。(実際に、Windows10にサードパーティ製のAVを導入すると、Microsoft Defenderウイルス対策は自動的にパッシブモードまたは自動無効モードに入るとされています。)
※出所:Microsoft社「Microsoft Defender ウイルス対策の互換性」
したがって、レガシーAVが存在する端末にEDRを導入する場合、EDRの検知機能を一時的に縮退させる設定が必要になります。具体的な設定方法はEDR製品ごとに異なりますが、一般的に留意すべき観点について、以下に解説します。
EDRの検知機能は、検知した脅威に対するアクションを次の二種類の動作モードから選択できます。(便宜上の定義であり、製品ごとに異なる場合があります。)
- Detectionモード:脅威を検知するが、検知した脅威はブロックしない
- Preventionモード:脅威を検知し、検知した脅威はブロックする
Detectionモードの場合、例えばマルウェアの実行が検知されると、その時点ではマルウェアは動作し続けているため、別の方法を用いてマルウェアを停止させるなどの対処が必要です。一方、Preventionモードの場合、マルウェアの検知と同時に、その動作もブロックされるため、(影響範囲の確認などは必要であるものの)基本的に対処は必要ありません。すなわち、原則としてPreventionモードの方が、セキュリティレベルが高いと言えます。
レガシーAVとEDRの動作干渉の大半は、それぞれが同一のファイルを同時にブロックしてしまう(2つの手が1つのものを掴んでしまい、動かせなくなるイメージ)場合に発生します。したがって、以下の点に留意してEDRを設定すれば比較的安全に運用することが可能になります。
- ファイルベース検知:レガシーAVと同一のファイルを同時にブロックする可能性があるため、並行稼働期間中はDetectionモードに設定する
- ファイルレス検知:レガシーAVと同一のファイルを同時にブロックする可能性がないため、並行稼働期間中もPreventionモードに設定する
また、上記はレガシーAVとEDRの動作干渉のみに配慮した設定ですが、特に可用性を重視する端末に対しては、ファイルベース検知/ファイルレス検知の双方をDetectionモードに設定することも選択肢の一つです。前述の通り、Detectionモードは脅威をブロックすることは出来ませんが、誤検知が発生しても正規の動作を阻害しないため、可用性への影響を最小限に留めることができます。
なお、Detectionモードであっても脅威の検知は有効であり、また前述の通り、EDRはレガシーAVにはない記録・調査・対処機能を備えるため、レガシーAV単体の場合と比較して、エンドポイントのセキュリティレベルを大きく向上させることが可能です。したがって、動作干渉に注意しながらも縮退させる範囲を最小限に留めることで、並行稼働期間中もEDRの恩恵を十分に享受できます。しかし、製品によっては、このようにきめ細かく検知機能の設定を変更することができない製品もあるため、EDR製品の選定時には注意が必要です。
レガシーAVからEDRの移行例
最後に、実際の事例に基づき、レガシーAVからEDRの移行例を紹介します。本事例では、ライセンス期間と動作検証の都合上、レガシーAVとEDRの並行稼働期間が必要でした。
図2:レガシーAVからEDRへの移行イメージ
ステップ①業務影響を抑えながらセキュリティレベルを向上する
ステップ①では、レガシーAVには手を加えず、検知機能を(ファイルベース検知/ファイルレス検知によらず)Detectionモードに設定してEDRを導入します。
本ステップでは、可用性への影響を最小限に留めつつ、EDRの動作検証を行います。具体的には、EDRのソフトウェアが正常に動作するか、ログの伝送により発生する通信がネットワーク帯域を圧迫しないか等を検証します。
また、新しいセキュリティ製品の導入初期はFalse Positiveが発生しがちであり、これらをホワイトリストに登録する作業(チューニング)が欠かせませんが、DetectionモードではEDRの検知機能の対象となる脅威は全て検知されるものの、その動作はブロックしないため、業務影響を最小限に留めつつチューニングを行うことが可能です。
なお、前述の通り、レガシーAVでは困難であった未知のマルウェアやファイルレス攻撃の検知が可能になる、記録・調査・対処機能が利用できるなど、本ステップだけでもエンドポイントのセキュリティレベルは大幅に向上します。
本ステップは、動作検証の完了まで続きますが、概ね1カ月程度を要する場合が多いです。また、特に動作干渉時のリスクが大きいシステムについては、監視運用の強化を前提として、本ステップのまま恒久運用とする選択も有り得ます。
ステップ②さらに高度な防御能力を発揮させる
ステップ②では、レガシーAVには手を加えず、ファイルレス攻撃に対する機能のみをPreventionモードに設定変更します。本ステップでは、レガシーAVとEDRの動作干渉の確率を大幅に低減しつつ、レガシーAVでは防げない攻撃に対する防御レベルを向上させることが可能です。
ステップ③移行を完了し、理想的な状態を手に入れる
ステップ③では、レガシーAVをアンインストールし、ファイルベース検知をPreventionモードに設定変更します。これでレガシーAVからEDRへの移行は完了です。
この事例では、移行の完了までに約2ヵ月を要しましたが、セキュリティ部門が危機意識をもってシステム部門とゴールを共有し、実行を支援することで、移行を早期に完了させることが肝要です。前述の通り、エンドポイントのセキュリティ対策を単一のEDR製品に統一することで、品質面・運用面・費用面のそれぞれにメリットが期待できるため、出来るだけ早く移行を完了することを推奨します。
まとめ
本記事では、レガシーAVからEDRへの移行において頻出する以下のような課題を解決するために、レガシーAVとEDRの差異や移行の考え方を整理しました。
- 目的やアーキテクチャが類似しているため、移行により期待できるセキュリティ効果の説明が難しい
- 移行期間としてレガシーAVとEDRを並行稼働する必要があるが、動作干渉を避ける設定の方法や、移行の進め方がわからない
EDRはレガシーAVの上位互換といえる性能を備えており、適切に設定することでEDRとレガシーAVが並行稼働できることをご理解いただき、レガシーAVからEDRへの移行に取り組むきっかけとなれば幸いです。
なお、本記事の解説は、導入するEDR製品が既に述べたような性能・機能を備える理想的な製品であることが大前提になります。EDR市場は急速に拡大しており、EDRとして最低限の機能を備えていない、導入・運用の妨げとなる制約が多い、といった製品も増えているように感じます。目的に沿った製品を選定しなければ期待した効果を得ることはできないため、EDR製品の選定に迷うことがあれば、是非ご相談ください。
マネージドEDRサービスの詳細はこちら
