セキュリティの成熟モデルから導き出す
自社に最適な「EDRの選び方」

　深刻化するランサムウエアによる脅威。アンチウイルスによる検出の回避、ファイルの変化を偽装するステルス化攻撃、Windows PowerShellなどを悪用したファイルレス攻撃など、攻撃手法は日々進化を続けている。日本企業は世界中のサイバー犯罪者から格好のターゲットだ。

　こうした状況を受け、EDRに注目が高まっている。しかし、「EDRの導入だけが唯一無二の選択肢ではありません。まずは、セキュリティインシデントの大部分が関与するといわれるサーバーやワークステーションなど、エンドポイントの状況を正確に見定め、脆弱性への対応と強化を図る必要があります」とカスペルスキーの伊藤 健大氏は指摘する。

　EDRの運用には、セキュリティ人材や運用する体制が社内に整っているかどうかも重要なポイントとなる。そのため、EDR製品を選ぶ際には「自社におけるセキュリティ対応の習熟度や運用体制に見合った製品を選ばないと、結局使いこなせなかったということになりかねません」と注意を促す。長い目で見て、継続的に運用ができるかどうかを見極める必要があるわけだ。

　今後は各企業・組織の状況あったEDRが必要になる――。こうした考えのもと、カスペルスキーは2022年にEDR製品のラインアップを一新。クラウド管理やオンプレミス管理、エンドポイントセキュリティとのバンドルライセンスなど、SMBからエンタープライズまで、セキュリティに対する成熟度や運用体制に合わせたライセンス形態を提供している。

　例えば、「専門のセキュリティ人材がいない企業」向けには、EDRではなくEPP（Endpoint Protect Platform）製品である「Kaspersky Endpoint Security for Business」（以下、KESB）を提供。標的型攻撃やフィッシング、スパムといったメール攻撃からPCを保護すると同時に、未知のマルウエアを検知する「振る舞い検知」機能によってランサムウエアの排除が可能だという。

　また、小規模なセキュリティ部門は運営しているものの、セキュリティ専任者を設ける予定のない「セキュリティの専門性を強化中の企業」向けには、「Kaspersky Endpoint Detection and Response Optimum」（以下、KEDR Optimum）を提供している。

　「KEDR Optimumは一般的なEDR製品とは異なり、エンドポイントセキュリティの検知イベントを対象とするため、ユーザ側で専門的な知識を用いた判断をする必要はありません。必要最低限のインシデント対応を最小限の操作で実行することで、運用負荷を軽減できるようになっています」と伊藤氏は説明する。

　KEDR Optimumには、様々な機能が実装されている点も大きな特徴だ。マルウエアに感染したエンドポイントの感染経路の可視化や、感染端末の存在するネットワークを隔する機能はその一例だ。ほかにも、端末の脆弱性を管理したり、パッチを配信したりする機能、さらには攻撃の痕跡をデータベース化し、攻撃をいち早く検知するIOC（Indicator of Compromise）を活用した検知機能もサポートしている。なお、クラウド管理で提供されるEPP製品「Kaspersky Endpoint Security Cloud」（以下KES Cloud）も用意されており、Plus／Proライセンスで付与されるEDR機能はKEDR Optimum相当だという。

　次にSOC（Security Operation Center）や、CERT（Computer Emergency Response Team）、CSIRT（Computer Security Incident Response Team）といった、「専門的なセキュリティ部門や組織を確立している企業」や「高度な脅威に対する対応（脅威ハンティング）を必要とする企業」向けには、「Kaspersky EDR Expert」を提供している。

　Kaspersky EDR Expertは、エンドポイントを保護するプラットフォームであるKESBをカスペルスキーならではのEDR機能で高度化したソリューション。「全体的なセキュリティレベルを強化した製品となっており、一般的な脅威に対する自動保護と、複雑な攻撃に対する高度な防御を単一のエージェントで対応できるようになっています。そのため、インシデントに対する処理を簡素化できるとともに、運用負荷を最小限に抑えることができます」と伊藤氏は説明する。

　Kaspersky EDR Expertオンプレミスのシステムは、エンドポイントを監視してテレメトリやオブジェクトの情報などのログを収集する「エンドポイントエージェント」、ログを保存・分析する「セントラルノード」、脅威や脅威の痕跡がないかを仮想環境上で動的に解析する「Advanced Sandbox」から構成される。ログはセントラルノードで分析されるため、PC側の負担は最小限に抑えられる仕組みとなっている。

　加えて、攻撃の兆候をつかみ予防的に脅威を検出するIOA（Indicators of Attack：攻撃の痕跡）がサポートされている点も大きな特徴だ。IOAはセンサーからの情報を継続的に収集して学習を行い、学習した振る舞いと比較して異常な振る舞いを発見した場合にインシデントとして検知する「標的型攻撃アナライザー」に含まれる検知技術である。

　IOAは攻撃者が用いるツールに関係なく、攻撃準備の際に取りうる戦術、テクニック、行動に焦点を当てて解析を行うため、標的型攻撃を行う攻撃者の行動ステップを分類した「Cyber Kill Chain」における、初期段階での攻撃対象を調査する「偵察」フェーズや、メール・Webサイトなどでマルウエアを送信／配信する「配送」フェーズにおける不審な振る舞いも検知することが可能となっている。

　通常、バックアップやログの削除、Windows Power Shellなど正規コマンドで実行できる動作は、マルウエアによる疑わしい行為であっても、エンドポイントセキュリティでは検知することが難しい。それに対してIOAではオブジェクトごとの行為に着目するため、エンドポイントセキュリティでは対応できない攻撃兆候も検知することが可能だ。

　なお、Kaspersky EDR Expertオンプレミスにおけるセントラルノードサーバーの導入は、ネットワークインタフェース、IPアドレス、センサー情報収集の方法を設定するのみで、機械学習のチューニングなどの面倒な事前設定は不要。また、管理サーバーを導入することでエンドポイントへのエージェントのインストール、管理がより簡単に行うことが可能だ。

　一方、Kaspersky EDR Expert Cloudに関しては、KESBに含まれたエージェント機能によってログがMicrosoft Azure上にホストされたKSC Cloud Consoleに収集されるので、センターノードの構築は不要だ。

　経済産業省は2020年までに、国内ではセキュリティ人材が20万人不足するという調査結果を発表している。事業環境や脅威が複雑化している現段階では、セキュリティ人材を取り巻く状況が急速に改善される兆しは見られない。

　優秀なセキュリティ人材を外部から獲得したり、短期間に育成したりすることが困難な状況では、ツールやソリューションを最大限に活用して、セキュリティ業務の標準化、自動化、省力化を図り、運用の生産性を高めていく取り組みは不可欠だ。そのためには、先進性や機能の数だけに惑わされることなく、自社で使いこなせるかどうか、自社の目的に適しているかどうかを見極めるのが重要であり、それがマルウエアなどの脅威から企業を守る最も有効な手段となるだろう。