皆さんこんにちは
若者に色々役に立つ情報をたまに呟いているおじさんです。

Endpoint Security

最近、Endpoint Securityについて勉強をやり直しているのですがそれに伴って、EPP、EDR、XDRという用語が出てきましたので、そのおさらいをしてみます。

EPP （Endpoint Protection Platform）

これは昔からあるアンチウィルス製品を思い浮かべてもらうと良いと思います。パソコンにインストールして、マルウェア（ウィルス）を検出して防御するクライアントソフトウェアを表しています。最初はマルウェア検知だけが目的だったのですが、徐々にクライアントファイアウォールが実装されて、クライアントコンピュータのネットワークアクセスも制御できる機能が付加されたものが、現代のEPPになると思います。

EDR （Endpoint Detection and Response）

これはEPPの機能に加えて、クライアント内のファイルやプロセスの動きそしてネットワークアクセスを可視化し異常なふるまいを検出する機能がついかれました。そしてEDRとは直接関係ありませんが、EDR製品の多くがクラウドコンソール（クラウド側に管理用のサービスが用意されていて、クライアント管理専用のサーバを構築することが不要になった製品が多い）を採用しているのが特徴です。クラウド利用は、単に管理サーバ機能をサービスで提供しているだけでなく、クラウド側に集約したメタデータと呼ばれるクライアントの可視化情報をクラウド内の機械学習システムと連動して追加調査を高速で行うことが目的でクラウド化している面もあります。（もちろんこの機能をオンプレミス化している製品もあります）

XDR　（eXtended Detection and Reposnse）

EDRは、クライアントソフトだけで完結するのに対して、XDRはネットワークセキュリティの情報も追加して総合的にセキュリティを強化することです。具体的には、ネットワークセキュリティ製品（Firewall、UTM、DNS、WAF等）様々なnon-client softwareから得られるテレメトリーデータを統合し、相関することでより全社的な可視化機能を強化するシステムを表しており、EDR製品だけでなく、ネットワーク製品を販売している企業が作り出した概念です。

暗号化

近年、様々なものが暗号化されてきました。
最も有名なものは、HTTPSではないでしょうか。HTTP over SSLでSSLと呼ばれる暗号化の仕組みを使って、HTTPのプロトコルを安全にすることが目的で、多くのWebサーバに使われてきました。ブラウザのURL表示部分にある鍵のアイコンがSSLセッションを確立しているサインです。
HTTP/HTTPSの通信は昔は圧倒的にHTTPが多かったのですが、徐々にHTTPSに切り替わって、今では全体の90%がHTTPSに切り替わっています。
これに伴い、昔僕が触っていたIDS/IPSと呼ばれるネットワークトラフィックを解析して、不正な通信を検知/防御する製品はどんどん居場所を奪われ、最初のうちはMan in the Middleと呼ばれる通信をハイジャックして暗号化を解いて中身を調べる機能が実装されましたが、通信量が膨大になり、複合処理が間に合わなくなっていくと、徐々に専用機としては使われなくなってきました。現在生き残っているほとんどは、恐らくUTM（Unified Threat Management）と呼ばれる複合型ネットワーク機器（ファイアウォールの上に、様々なセキュリティ機能が乗っているアプライアンス）上の1つのインスタンスとして存在する形ではないでしょうか。これが意味するのは、現代のサイバーセキュリティにおいて暗号化されているネットワークトラフィックからは、データボリュームの大小と通信先のIP/Port程度の情報しか取り出すことができず、セキュリティの対策ポイントとしてはあまり有効な場所ではなくなってきたことを意味しているのではないでしょうか。

最適なセキュリティ実装ポイントとは

現状でネットワークトラフィックのほとんどが暗号化されていて、その複合化が実質的に難し現代のサイバースペースにおいて、最適なセキュリティの実装ポイントはどこになるのでしょうか。
僕個人的に上げるとすれば、水際となるエンドポイント、ネットワーク通信をIPとポートで制御するファイアウォール、HTTPSに限らずほとんどのネットワーク通信において使用されるDNS、そしてクラウド環境のサービスログがセキュリティの実装ポイントになると思っています。この中でもエンドポイントは、最終砦（水際）として機能しなければならないので各ベンダがしのぎを削って製品開発をしています。EPPの部分でも触れましたが現代のEPP製品は全てクライアントファイアウォールを実装しているため、実はネットワークの通信ログは全て取ることができますし、HTTPSなどで通信が暗号化されていたとしても、通信終端であるクライアント側では複合された情報が見えるため、エンドポイント側のセキュリティ対策が一番重要かつベストなポイントになって来たのではないでしょうか。もちろんファイアウォールやDNSセキュリティも重要であり有効であることは間違いないのですが、可視化するためのテレメトリーデータを取得する最適ポイントの筆頭としてはやはりエンドポイントが最適な場所になると思います。これはサーバセキュリティにおいても同じことになるため、WAFももちろん有効ではありますが、やはり水際のホスト単体で防御する形が現状で最適な場所になると思います。

本日のサムネはAdobe Fireflyで生成しました「Cyber toad practicing karate in cyber space」