年々、サイバー攻撃は高度化・巧妙化しています。なんらかの防御策をとっている有名企業や自治体でさえ被害に遭っているだけでなく、さらに、中小企業から有名企業を狙うといったサプライチェーンを狙った攻撃が急増しています。中小企業は大企業に比べて社員のセキュリティリテラシーやサイバー攻撃に対する防御力が低いとされており、中小企業から攻撃を開始・侵入し、次に大手取引先や関連会社のネットワークに侵入し情報を窃取するといった中小企業が踏み台にされるケースも急増しています。そんななかセキュリティ対策として注目を集めているのが、EDR(Endpoint Detection and Response)です。
EDRとは、ユーザーが利用するパソコンやスマホ、タブレット、サーバーといったエンドポイントにおけるログデータを収集し、不審な挙動やサイバー攻撃を検知し、脅威を自動で隔離・削除してくれるセキュリティソリューションのこと。簡単に言うと、サイバー攻撃を早期発見し、迅速に封じ込めてくれるサービスです。従来のアンチウイルスソフトやファイヤーウォールの既知の脅威だけの対応でなく、EDRは振る舞いで検知するため既知の脅威だけでなく未知の脅威にも対応できます。
(補足:アンチウイルスソフトは定義ファイルというファイルに書いてあるマルウェアしか検知できず、定義ファイルに書かれていないマルウェアだった場合素通してしまう…)
マルウェアやサイバー攻撃での侵入を防ぐための対策ではなく、万が一侵入を許してしまった場合に備えて、その存在にいち早く気づき、脅威を排除する対策が不可欠です。
EDRの可視化機能を活用することで、感染の根本原因や影響範囲を容易に把握できるため、発生してしまったセキュリティインシデントからの学習を行えるという点も強みです。
リモートワークが普及した昨今、企業が抱えるセキュリティリスクが社内だけでなく社外にも拡大しているためセキュリティ対策として導入を検討する企業が増えています。
EDRと比較されることの多いセキュリティソリューションの一つに、EPPがあります。EPPはサイバー攻撃の防御を重視していることに対して、EDRは防御に加えて、攻撃を受けた後に迅速に対処する機能を兼ね備えていることが特徴です。具体的には、サイバー攻撃を受け、マルウェアに感染したことを検知すると、システム管理者にアラートで通知し、その次に、攻撃を受けた端末をネットワークから隔離してマルウェアの感染拡大を阻止します。その後、進入経路や進入後の活動を調査・分析し、マルウェアを端末から除去します。これが、EDRの主な機能です。
EDRの活用について、「運用が難しい」「管理できる人材が不足している」などの課題が指摘されることもあります。そんなときにサポートしてくれるのが、SOCです。SOCとは、Security Operation Centerの略で、サイバー攻撃に対して、監視・検出・対応・分析するセキュリティ運用サービスのこと。24時間、365日体制で監視してくれます。EDR導入の際にSOCもセットにすれば、社内に専門知識をもつ人材がいなくてもEDRの運用を遠隔の専門家に任せることができるので、企業の負担が無くなります。
総務省の発表によると、2021年度の不正アクセス行為の認知件数は全国で1561件(※)。サイバー攻撃が高度化、巧妙化しているいま、既知の脅威の備えだけでは攻撃を100%防ぐことは難しく、既知の脅威と未知の脅威どちらの備えも必要不可欠です。万が一攻撃されてしまった場合に備えて、迅速に対応してくれるEDRを導入しておくのが得策といえるでしょう。
※総務省「不正アクセス行為の発生状況」
https://www.soumu.go.jp/main_content/000807446.pdf