皆様こんにちは。日本IBMの藤原です。

昨今セキュリティへの注目度が上がり、EDR(Endpoint Detection and Response)も一般的な言葉として浸透してきましたが、実際なぜEDRが必要で、どのようなケースで役に立つものかご存じでしょうか？
今回は今こそ導入を検討いただきたい、EDRの必要性をお話しいたします。

EDRとは

EDRはEndpoint Detection & Responseの略で、あらゆるエンドポイント端末(PC/サーバ/モバイルデバイス/IoTデバイスなど)で脅威を「防御」「検知」し、被害を最小限に抑えるために隔離といった事後「対応」までを行うソリューションです。
事後対応や被害原因調査のために各端末から情報を継続的に収集します。製品によってはAIを活用して検出率の向上や対応を効率的に行う製品もあります。

なぜEDRが必要？

今の時代、ゼロデイや特定のターゲットだけを狙い打った標的型攻撃といった既存のエンドポイント製品では検知が難しいものや、正規のメールを模してマルウェアへ誘導するエモテットなど対策が難しい手法が多く、完全に攻撃を防ぐというのは現実的ではなくなっています。
そのような状況にありながら、一度攻撃を受けてしまい被害が大きくなると、メディアや世間の注目を悪い意味で受けてしまい、攻撃の直接的被害だけでなく、会社の株価や名前、対応のコストなど様々な影響が発生してしまいます。可能な限りこのような状況は避けるべきです。ではどのような理由でEDRがあれば対処できるのか挙げていきます。

・未知の攻撃を検知

先述のゼロデイや標的型攻撃は既知のシグネチャベースのエンドポイントでは検知が難しく、防御をすり抜けてきます。そういった攻撃に対し、EDRはエンドポイントの動作(振る舞い)や操作状況を分析することで未知の攻撃に対しても検知が可能になります。

・攻撃被害を最小限にとどめる

EDRの導入で未知の攻撃の検知も可能になりますが、それでも完全に侵入は防げません。大事なのは侵入されてしまった後にどう対処するかです。EDRは脅威や、疑わしいアクティビティを検知すると、事前定義されたルールに基づきアラートを提示、場合によっては自動的に端末をネットワークから隔離することでウイルスの拡散を防ぎます。

・潜んでいる脅威の検出、侵入の原因を調査するための持続的な情報収集

脅威が拡散することを防いだ後は、発生した脅威の根本原因や他に同様の脅威が潜んでいないかをアナリストは調査する必要があります。EDRは端末から攻撃に使われた手法やファイルの情報など、攻撃の痕跡情報を収集します。収集した情報は脅威インテリジェンスと呼ばれる端末の脆弱性情報や、攻撃に使われた手法などサイバー脅威に関する継続的な情報元と関連付けて提示します。そのためアナリストは効率的に調査を行うことができます。
EDRはその情報収集能力から※SIEMや※SOARといったセキュリティソリューションと連携することで、エンドポイントだけでなく組織全体の脅威の検出および対応までの流れを、高度かつ効率的に行えます。このような統合は最近「XDR」として広まり始めているエンドポイントだけでなく「Extended」組織全体に対象を拡張し検出と対応を行うテクノロジーの実現に近づきます。
※SIEM:様々なログを一元的に集約し、相関分析によりセキュリティ監視を行うソリューション
※SOAR:インシデント対応の自動化などのセキュリティ運用業務の効率化、自動化を実現するソリューション

EDRソリューションReaQtaのここがすごい

ここまではEDRの一般的な考え方を述べてきましたが、ここからはIBMが持っているEDRソリューション「ReaQta」の特長について簡単にご紹介します。

・検知と対応にAIを活用しており、既知だけでなく未知の脅威も振る舞いベースでリアルタイムに検知が可能
・OSを外部から監視するNanoOSという仕組みを採用し、システム動作を外側からより詳細な情報を収集
・AIの技術でアナリストの意思決定を学習、類似アラートの対応を自動化、簡易化により誤検知を削減
・マルウェア感染後の対応処理のガイダンス機能で事後処理を最適かつ迅速に

詳しくReaQtaについて知りたいという方は以下の公式ページも合わせてご参照ください。
IBM Security ReaQta - 概要 - 日本 | IBM

運用監視までお任せください！

ここまでご紹介してきたEDRですが、実際に使ってみたくても運用監視をできるリソースが無い、スキル不足に不安を持たれている方も多くいらっしゃるかと思います。ご安心ください。弊社では24時間365日で脅威の監視、検出、修復まで行うサービスも合わせてご提案が可能です。

まとめ

EDRの必要性からReaQtaソリューションの特長までご紹介させていただきました。EDRまで導入されていない方、このあたりで導入を考えてみてはいかがでしょうか。リソースの問題も運用監視サービスまでご利用いただくことでアウトソーシングが可能です。

EDRについて別途ページが用意されているので、ご興味ありましたらご一読いただきますと幸いです。
EDR（Endpoint Detection and Response）I IBM

本記事および関連ページをお読みになり、もし気になる点などございましたら是非とも下記お問い合わせフォームにてご記載いただければ幸いです。
問い合わせフォームはこちら

今回もここまでお読みいただきありがとうございました。

日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 第二デジタル営業部
藤原 圭汰
Email：Keita.Fujiwara@ibm.com
LinkedIn：https://www.linkedin.com/in/keitafujiwara-2535a1240