EDRを「魔法のツール」にすると失敗する
新ガイドラインにも適したEDRの使い方

そうした背景から、現行システムをめぐる課題や、政府が進める「クラウド・バイ・デフォルト原則」などの新しい時代の要請を踏まえるかたちで、総務省では、2020年4月6日にガイドラインの改訂案にかかわる通達を行った。改定案では、既存の三層分離の形態である「α」に加え、LGWAN系の業務端末をインターネット接続系に移す「β」、人事給与や財務会計といったLGWAN系のシステムをインターネット接続系に移行する「β'」の各モデルを提示。業務効率改善の要請に応えていこうとしている。

「当然、βおよびβ'のモデルの適用にあたっては、端末セキュリティになお一層の配慮が不可欠となります。改訂案で必須の要件として掲げられているのがEPP（Endpoint Protection Platform）とEDR（Endpoint Detection & Response）の両エンドポイント対策です」と渡辺氏は語る。

このうちEPPは、脅威の検知・感染防止をまかなう部分で、自治体でも導入されているアンチウイルスソフトがこれにあたる。一方のEDRは、EPPでの防御をすり抜けて侵入してきた脅威を検知・探知（Detection）し、問題の調査や復旧対応などの事後の対処（Response）を支援するものだ。

言い換えればEPPは「マルウェアに感染しないこと」、EDRは「マルウェア感染後の被害を抑えること」にそれぞれ目的を置いている。これについて渡辺氏は「EDRがDetectionのための仕組み備えているので、EPPが不要になるとの誤解もあるようですが、両者は目的も異なり、EDRはEPPの機能を代替し得る『魔法のツール』では決してありません。EDRを導入したからといってEPPを軽視してよいということにはならないのです」と強調する。

このようにEPP、EDRはセキュリティ対策として、いわば相互補完関係にあるわけだが、EPPについてはすでに述べたように、ほとんどの組織が何らかの仕組みを導入済みであり、βおよびβ'のモデルを適用していこうと考える自治体においては、EDRを導入し運用していくことが今後の急務となる。事実、改訂案にかかわる通達が総務省からなされて以降、多くの自治体がEDRの検討に着手している状況だ。

「EDRの導入・運用に関して強調しておきたいのが、特に自治体のシステム環境においては、Responseの部分に重きを置くべきということです」と渡辺氏は断言する。というのも、EDRのDetection機能では多くの場合、攻撃の痕跡情報から侵害されたことを検知するIOC（Indicators Of Compromise）や攻撃の属性から侵害の兆候を検知するIOA（Indicators Of Attack）でアラートが出される。しかし、その内容を理解し対処するには高度な専門的知識が必要だ。

そうしたスキルを備えた人的リソースを配備するというのは、多くの自治体にとってはやはり困難である。そこで、脅威侵入後のResponseに力を注いで、事業継続性を高めることに努めることが自治体にとって現実的なアプローチとなるわけだ。

トレンドマイクロでは、すでに多くの自治体にEPPとして導入されている「ウイルスバスターコーポレートエディション」の最新版となる「Apex One」のオプションとしてEDR機能「Apex One Endpoint Sensor」を提供。ウイルスバスターコーポレートエディションをApex Oneにアップデートすれば、そこにEDR機能が組み込まれており、Endpoint Sensorのライセンスを購入してアクティベートするだけで直ちに利用が可能となる。

「Endpoint Sensorには、トレンドマイクロがこれまでお客様の現場で実施してきたインシデントレスキューの豊富な経験から得られた高度な知見、ノウハウに基づく機能の数々が組み込まれています。またそうした経験をもとに、EDRの効果的な使い方や運用方法を実践的にご提案できるのもトレンドマイクロの大きな強みです」と渡辺氏は強調する。

また、EDRの利用にあたってはツールを動作させるトリガーとなる仕組みの整備も重要だ。その点もトレンドマイクロでは組織の内部ネットワークを可視化し、怪しい通信を行っている端末を容易に特定できる「Trend Micro Deep Discovery Inspector」も用意。その併用がEDRの効果をさらに高めるはずだ。