EDRは魔法の杖？サイバーセキュリティの
基本はエンドポイント保護！
検知と対応だけではない、
効率的に防御強化するEDRの次の一手とは

　これまで、ほとんどの企業のIT環境はゲートウェイに設置したファイアウオールやUTM（Unified Threat Management）などによる境界防御で守られてきた。基本的に守るべき資産は社内にあったからだ。

　しかし、コロナ禍によってリモートワークが普及し、アプリケーションやデータ、従業員は社外も含む様々な場所に分散するようになり、境界防御の限界が指摘されている。

　また個人所有のものも含めて、利用されるデバイスの種類はますます多様化。さらに社員だけではなく取引先やパートナー企業などもアプリケーションやデータにアクセスするのが当たり前になるなど、セキュリティ対策の前提は大きく変わってきている。

　このような状況の中で、今後、企業はどのように情報を保護していくべきか。その問いに対して、SB C&Sの矢部 和馬氏は「真っ先に対策すべきはエンドポイント。攻撃者が最も狙いやすい社員が使うデバイスの保護が最優先です」と強調する。

　実際、エンドポイントに対する攻撃は高度化・悪質化していく一方だ。例えば、非マルウエアのファイルレス攻撃はメモリエクスプロイト、VBAマクロやPowerShellなどのスクリプトへの埋め込み、WMIリポジトリやWindowsレジストリへの埋め込み、DLLインジェクションなど正規ツールを悪用する攻撃手法も多様化しており、既存のセキュリティ対策製品ではなかなか検出できなくなっている。

　もちろん、以前から脅威だったマルウエアやランサムウェアも新しい種類のものが横行している。「機械学習モデルによるマルウエア検出の回避やデバッグ回避の機構を備えた新種ものも登場しており、スキャンが困難になっています」と矢部氏は説明する。

　そこで、企業が採用すべき対策が多層防御である。

　「城塞に例えれば、どんなに高い壁を作ったとしても、1枚だけしかなければそこを突破された時点で終わりです。一方、複数の壁があれば、本丸に行き着くまでの攻撃を遅らせることも、途中で断ち切ることもできます」と矢部氏。具体的には、エンドポイントに対するサイバー攻撃の9割以上をEPP（Endpoint Protection Platform）でしっかり自動防御し、それをすり抜けて侵入してきたものだけをEDR（Endpoint Detection and Response）によるインシデント対応に回すのが理想的だと強調する。

　ただし、いくら多層が有効とはいっても、異なるソリューショを導入した結果、コストやIT部門の運用負荷が増大することは避けたい。それに対して、単一の製品でエンドポイントセキュリティを完結できるのがSB C&Sが提案するシマンテックの「Symantec Endpoint Security Complete」（以下、SESC）である。

　「SESはEPPとEDR、さらに脅威ハンティングや先進技術による防御強化 までオールインワンで統合したクラウド型のエンドポイントセキュリティです。PCやモバイル端末、サーバーなどモノを問わずにすべて保護します。先進技術による防御強化を図るとともに、ユーザー側で検出したサイバー攻撃の内容を取り込みながらセキュリティ対策のライフサイクルを回していく運用自動化を実現します」と矢部氏は説明する。

　まずSESCの特徴としてあげられるのが「先進技術による防御強化」である。具体的には、2つの機能がそれに当たる。

　1つ目は「適応型保護（Adaptive Protection）」だ。

　近年、多くのセキュリティベンダーが機械学習によってサイバー攻撃の振る舞いを検知する仕組みを提供するようになったが、それらの多くが「黒」と判定したものだけをブロックするモデルとなっている。正常なファイルや挙動を誤って攻撃と判定してしまうのを回避するためだ。

　しかし、その場合、グレーと判定したものはすべてEDRのインシデント対応に回り、結果として担当者の負担を増大させてしまうことになる。それを防ぐには、企業自らが独自にポリシーやルールをチューニングし、定期的にアップデートし続けなければならない。当然、この作業も負担が増大する上、誤った設定をしてしまうと、脅威の危険にさらされるリスクが高まってしまう。

　SESCのAdaptive Protectionは、この問題を解決する。

　「適応型保護機能はお客様環境の振る舞いを一定期間学習し、MITERや脅威データベースとの相関分析を行います。これによりお客様専用の黒判定ルールや白判定ルールを自動で作成するのです。もちろん複雑な操作は不要。お客様側の管理者は、適応型保護機能から提示されたルールを1クリックで有効化するだけです」と矢部氏は述べる。

　2つ目は「Active Directoryの脅威保護」の機能である。

　標的型攻撃の大半がActive Directoryを悪用しており、侵入から乗っ取りまで7分程度しかかからないという指摘がある。これに対してSESCは、Detection（騙し、疑似餌）を配置することで脅威の水平移動、横展開を阻止し、クレデンシャル情報の搾取を防ぐ。

　「攻撃者の最終攻略目標であるActive Directoryを常時セキュリティ監査し、囮を使うことで過剰検知なしで侵入を早期検知します。さらに侵入後もフォレンジック調査を自動的に実行し、検知したインシデントに対応します」と矢部氏は語る。

　また、矢部氏はSESCならではの特長として「検出と対応・脅威ハンティング」も紹介する。「SESC上ではEPPとEDRをシングルエージェント、シングルコンソールで統合したXDR（Extended Detection and Response）が実現されており、CASBやDLP、セキュアWebゲートウェイと連携したリアルタイム分析が可能です」。加えてSESCは、機械学習とエキスパートによる分析や上位アナリストによる分析を組み合わせて潜在的な侵害を特定する脅威ハンティングサービスも標準で提供している。

　このトータルな検知機能は、第三者評価（Mitre ATT&CK評価）において91％という高いスコアを獲得している。

　冒頭でも述べたとおり、ワークスタイルをはじめとするIT環境の変化を受けて、セキュリティ対策の見直しが急務となっている。対策の基本となるエンドポイントの保護をトータルかつ効率的に実現するSESCの有効性は極めて高い。