EN

NRIセキュア ブログ

【提案】EDRを活用した資産管理|”野良端末”の効率的な見つけ方

目次

    SecureSketCH_EDR

     マルウェア感染を発端としたセキュリティインシデントに関するご相談の中に、「資産管理外の端末」を起因とした事案が一定数あります。これらのインシデントでは、企業の資産として適切に管理されていない端末(以後、便宜上「野良端末」と呼びます。)がマルウェアに感染し、他の端末へ感染が広がるというものでした。これまでのケースを踏まえると、管理の目が行き届きにくい地方拠点や海外拠点で発生する傾向が強いといえます。

     野良端末は、ADなどの仕組みによるセキュリティ施策導入の強制ができない端末であり、マルウェア感染の起点となりやすい傾向があります。また、感染の事実を管理者が知ることも難しい場合が多く、気づきが遅くなった分、被害規模は大きくなる傾向があります。

     

     こうした状況下で、「資産管理」と「サイバー攻撃の検知・対応」という大きな課題に対する施策の推進を強いられており、頭を悩ませている方も多いのではないでしょうか。

     

     これらの施策を同時に推進するにあたって、どのような対応が取れるのでしょうか。今回は、エンドポイントにおける資産管理アプローチに触れつつ、新たな対策法についてご提案します。

     

     

    EDR導入ガイド

    資産管理が行き届かない背景

     前述の通り、資産管理は把握していない端末を無くし、セキュリティコントロールを可能にするという重要な意味を持っています。米国のCISCenter for Internet Security)という団体が米国国家安全保障局(NSA)や米国立標準技術研究所(NIST)などと協力して策定しているCIS Controlsでも「ハードウェア資産のインベントリとコントロール」、「ソフトウェア資産のインベントリとコントロール」は優先度の高いBasic項目として挙げられています。

     

     一方、「マルウェア対策」などはFoundationalとして挙げられており、Basic項目を整備後に整備することが正攻法であることが表現されています。

    SecureSketCH_CISControls 

     

    合わせて読みたい記事 

     【解説】セキュリティ業務の自動化におすすめなガイドライン「CIS Controls」とは?

     

     

     しかし、現実に照らし合わせると、このような正攻法で整備を進められない企業も多いのも現状です。

    その要因の一つに、サイバー攻撃の高度化が挙げられます。CrowdStrike社の調査では、近年観測された攻撃のうち半数以上が従来型のアンチウイルスが検知しにくい攻撃になっているなど、アンチウイルスによる100%防御を期待できない状況になっています。こうした攻撃の高度化に対応するためにも、EDRをはじめとした、攻撃を検知・対応する仕組みの導入の優先度が高くなっています。

     

     また、セキュリティ施策を推進する人材の不足ということも挙げられます。NRIセキュアが2019年に企業を対象に実施した調査では、約9割の企業がセキュリティ対策に従事する人材が不足していると回答しており、企業内のセキュリティ施策を推進する力が乏しい状況を示しています。

     

     サイバー攻撃の高度化、セキュリティ人材の不足を背景にして、「資産管理」から「サイバー攻撃の防御・検知・対応」のような順序で速度感をもって施策整備を推進できず、現在進行形で発生しているサイバー攻撃への対策を優先的に整備せざるを得ない状況に立たされています。今後、サイバー攻撃にも対応しつつ、手軽に資産管理を整備することが可能なアプローチがより一層求められると考えられます。

     

    EDRを活用して資産管理を始める

     では、どのようにして実現すればよいのでしょうか。その選択肢の一つとして、EDRの追加機能を活用するという方法があります。

     

     資産管理には資産管理「専用」のソリューションを用いることが一般的ですが、昨今のEDRには資産管理機能が搭載されている製品が登場しています。

     

     EDR本来の目的である「サイバー攻撃の検知・対応」に加え、資産管理機能を活用することにどのような利点があるのかご紹介します。

    ポイント①管理している端末の情報が手軽に把握できる

     資産管理ソリューションには、エンドポイント上で動作するエージェントというプログラムが必要か否かで大きく2種類の方式が存在します。各方式を簡単に整理すると次の通りです。SecureSketCH_資産管理ソリューション方式表

      収集できる情報の豊富さのなどの観点から、流通している製品はエージェント型を採用している製品が多い状況です。EDRもエージェント型が多く、EDRの資産管理機能を用いることで、資産管理のみを目的としたエージェントの個別導入は不要とすることができ、資産管理を低負荷で迅速に始められます。また、単一のエージェントで動作するため、必要となるマシンリソースも抑えられ、端末利用者の業務へ与える影響も低減できるといった効果も期待できます。SecureSketCH_EDRエージェント型

    ポイント②「野良端末」を手軽に把握できる

     エンドポイントへのEDR導入有無が手軽に把握できるという点も利点として挙げられます。

    EDRの資産管理機能では、同一ネットワークに存在するEDR未導入端末を探知することが可能です。この機能を用いることで野良端末を探索する負荷の低減が見込めます。

     

     仮に、EDR未導入端末が存在すると、その端末がサイバー攻撃を受けた場合には、攻撃を検知することができず、結果的に被害を受けてしまうことも考えられます。組織内の端末を侵害した攻撃者は、セキュリティ製品が未導入の端末を潜伏場所として用い、さらに侵害を広めていく傾向があり、いかにして野良端末を発見し、管理下に置くかが重要です。SecureSketCH_EDRPC

    まとめ

     餅は餅屋という言葉通り、「資産管理」だけにフォーカスした場合には、資産管理専用のソリューションのほうが機能的に長けている点もあります。その一方で、これまで紹介したポイントのように、EDRと資産管理が単一ソリューションの一機能として実装されていることで受けられる恩恵は十分にあると考えられます。

     

     資産管理を早く・楽に実現することを模索中の方、これから導入検討される方は、EDRの資産管理機能の活用も選択肢の一つに入れてみてはいかがでしょうか。

     

     また、一般にEDRは端末の細かな情報を吸い上げたり端末を制御したりする機能を持つことが多く、技術的には様々な機能に応用が可能です。脆弱性管理、USB管理、Firewall管理など複数の機能を充実させた製品も増えています。今後は、多岐にわたる製品や個別の運用に煩わされることなく、単一のソリューションで負荷やコストを削減できるようになることが一層期待されます。

    EDR導入ガイド

     

    新規CTA

     

    新規CTA

    forensic

    セキュリティ事故
    お問い合わせ窓口

    セキュリティ事故発生時は、こちらからお問い合わせください

    今すぐ相談