EDRを「魔法のツール」にすると失敗する
新ガイドラインにも適したEDRの使い方

自治体システムが採用する三層分離モデルをめぐり、現行ガイドラインの見直しを進める総務省では、業務端末をインターネット接続系に移行する新たなモデルの選択も含めて提示する方向だ。適用を目指す自治体にとって急務となるのが、EDRによるエンドポイントセキュリティの強化だ。トレンドマイクロでは、インシデントレスキューの現場で培った豊富な経験をベースに自治体のEDR導入・運用方法を的確に助言する。

全国の自治体では、総務省が2015年に提示した報告書「新たな自治体情報セキュティ対策の抜本的強化」や、それに基づいて策定されたガイドラインに沿ったシステム環境を整備してきた。しかし一方では、三層分離を核とするいわゆる強靭性向上モデルに基づくシステム環境が業務効率の妨げにもなっていた。

トレンドマイクロ株式会社 業種営業推進部 エキスパートグループ シニアマネージャー渡辺 政宏 氏
トレンドマイクロ株式会社 業種営業推進部 エキスパートグループ シニアマネージャー 渡辺 政宏

「さらに新型コロナウイルスの感染拡大を受けて、民間企業ではテレワークが急速に普及しましたが、こと自治体においては業務システムが配置されているLGWAN系のシステムにはリモートアクセスの手法が限られ、直ぐにテレワークに対応しづらいという問題にも直面しています」と指摘するのは、トレンドマイクロの渡辺政宏氏だ。

新モデルへの移行で
求められるエンドポイント強化

そうした背景から、現行システムをめぐる課題や、政府が進める「クラウド・バイ・デフォルト原則」などの新しい時代の要請を踏まえるかたちで、総務省では、2020年4月6日にガイドラインの改訂案にかかわる通達を行った。改定案では、既存の三層分離の形態である「α」に加え、LGWAN系の業務端末をインターネット接続系に移す「β」、人事給与や財務会計といったLGWAN系のシステムをインターネット接続系に移行する「β'」の各モデルを提示。業務効率改善の要請に応えていこうとしている。

「当然、βおよびβ'のモデルの適用にあたっては、端末セキュリティになお一層の配慮が不可欠となります。改訂案で必須の要件として掲げられているのがEPP(Endpoint Protection Platform)とEDR(Endpoint Detection & Response)の両エンドポイント対策です」と渡辺氏は語る。

このうちEPPは、脅威の検知・感染防止をまかなう部分で、自治体でも導入されているアンチウイルスソフトがこれにあたる。一方のEDRは、EPPでの防御をすり抜けて侵入してきた脅威を検知・探知(Detection)し、問題の調査や復旧対応などの事後の対処(Response)を支援するものだ。

言い換えればEPPは「マルウェアに感染しないこと」、EDRは「マルウェア感染後の被害を抑えること」にそれぞれ目的を置いている。これについて渡辺氏は「EDRがDetectionのための仕組み備えているので、EPPが不要になるとの誤解もあるようですが、両者は目的も異なり、EDRはEPPの機能を代替し得る『魔法のツール』では決してありません。EDRを導入したからといってEPPを軽視してよいということにはならないのです」と強調する。

力を入れるべきは脅威侵入後
「Response」がカギを握る

このようにEPP、EDRはセキュリティ対策として、いわば相互補完関係にあるわけだが、EPPについてはすでに述べたように、ほとんどの組織が何らかの仕組みを導入済みであり、βおよびβ'のモデルを適用していこうと考える自治体においては、EDRを導入し運用していくことが今後の急務となる。事実、改訂案にかかわる通達が総務省からなされて以降、多くの自治体がEDRの検討に着手している状況だ。

「EDRの導入・運用に関して強調しておきたいのが、特に自治体のシステム環境においては、Responseの部分に重きを置くべきということです」と渡辺氏は断言する。というのも、EDRのDetection機能では多くの場合、攻撃の痕跡情報から侵害されたことを検知するIOC(Indicators Of Compromise)や攻撃の属性から侵害の兆候を検知するIOA(Indicators Of Attack)でアラートが出される。しかし、その内容を理解し対処するには高度な専門的知識が必要だ。

そうしたスキルを備えた人的リソースを配備するというのは、多くの自治体にとってはやはり困難である。そこで、脅威侵入後のResponseに力を注いで、事業継続性を高めることに努めることが自治体にとって現実的なアプローチとなるわけだ。

インシデントレスキューの現場で
培われた豊富な経験で自治体を支援

トレンドマイクロでは、すでに多くの自治体にEPPとして導入されている「ウイルスバスターコーポレートエディション」の最新版となる「Apex One」のオプションとしてEDR機能「Apex One Endpoint Sensor」を提供。ウイルスバスターコーポレートエディションをApex Oneにアップデートすれば、そこにEDR機能が組み込まれており、Endpoint Sensorのライセンスを購入してアクティベートするだけで直ちに利用が可能となる。

「Endpoint Sensorには、トレンドマイクロがこれまでお客様の現場で実施してきたインシデントレスキューの豊富な経験から得られた高度な知見、ノウハウに基づく機能の数々が組み込まれています。またそうした経験をもとに、EDRの効果的な使い方や運用方法を実践的にご提案できるのもトレンドマイクロの大きな強みです」と渡辺氏は強調する。

また、EDRの利用にあたってはツールを動作させるトリガーとなる仕組みの整備も重要だ。その点もトレンドマイクロでは組織の内部ネットワークを可視化し、怪しい通信を行っている端末を容易に特定できる「Trend Micro Deep Discovery Inspector」も用意。その併用がEDRの効果をさらに高めるはずだ。

図:トレンドマイクロが提唱する自治体システムにおけるエンドポイント対策

図:トレンドマイクロが提唱する自治体システムにおけるエンドポイント対策


[図版のクリックで拡大表示]