こんにちは！ファンリード プロジェクト推進室セキュリティチームです。

近年、サイバー攻撃が全世界的に増加しており、大手動画サイトがサービス停止に追い込まれるなど、大きなニュースで世間を騒がせているのが記憶に新しいかと思います。
サイバー攻撃を仕掛ける側である攻撃者は、組織化されているだけでなく、利益を追求するビジネスとして、より効率的な攻撃手法を次々と採用するようになっています。
それらの攻撃に対応できるよう、防御側も日々新たな技術を取り入れ、対策を進化させていますが、一進一退の攻防を続けています。
その中でもスタンダードなセキュリティ対策となりつつある「EDR(Endpoint Detection and Response)」について、ご紹介します。
ファンリードは、太陽ホールディングスを中心とする太陽グループの一員であり、太陽グループ全体に対してEDRを導入し、現在もグローバルで運用しています。

１．EDRってなに？

EDRは「攻撃者は必ず侵入してくる」ことを前提として、攻撃の兆候を即座に"検知"して、"対処"することを実現するソリューションです。
具体的には、エンドポイント(パソコンやサーバー、モバイルなど)に専用プログラムを常駐させ、アプリケーションの振る舞いや内外のデータ送受信、システムへ加えられた変更などをリアルタイムで監視します。
さらにAIや振る舞い分析などの機能によって、未知の攻撃(所謂ゼロデイ攻撃)や、世界的に猛威を振るっているランサムウェアに対しても効果を発揮します。

２．なぜ必要？既存のアンチマルウェアソフトと違いは？

ところで、最近は悪意のあるプログラムのことをウィルスとは呼ばずに、トロイの木馬やワームなどを含む総称として「マルウェア」と呼ぶようになっています。
malicious（マリシャス：悪意のある）にsoftware（ソフトウェア）で「マルウェア」です。
同様に、ランサムウェアもransom(ランサム：身代金)にsoftware（ソフトウェア）で「ランサムウェア」となります。

閑話休題、本題に戻ります。
従来のアンチマルウェアソフトは「EPP(Endpoint Protection Platform)」と呼ばれ、事前防御に特化しています。
事前防御もとても大切ですが、進化し巧妙化したサイバー攻撃の前には簡単にすり抜けられてしまいます。
もしEPP事前防御のみの対策で、攻撃者の侵入を許してしまった場合どうなるでしょうか？
侵入された後の攻撃者の動向をほぼ検知することができず、ようやく攻撃の痕跡を見つけた頃には、好き放題されてしまったあとの可能性が非常に高いです。
一方で、EDRは侵入された後の事後対応に重点を置いています。不審な動作や振る舞いをリアルタイムで検知し、アラートを上げることで、迅速に攻撃を特定して対処します。
その結果、被害の発生を防いだり、被害を最小限に抑えることが可能になります。

３．導入したから安全！ではなく

EDRはセキュリティ対策において効果的なソリューションですが、EDRを十全に機能させるためには、他にもいくつかの準備が必要です。
　・エンドポイントそれぞれにEDRアプリケーションをインストール
　・エンドポイントの負荷を考慮した使用するEDR機能の選択
　・専門的な知識を持った監視人員の用意　など

これらを準備することも鑑みると決して安いコストではありませんが、万が一十分な準備をせず大規模な被害が発生した場合、そのコストと比較すれば十分な価値があります。

４．まとめ

情報セキュリティの世界では"絶対"はありません。
サイバー攻撃は、攻撃側が主導権を握る状況で、防御側はかなり不利です。
今後EDRでも検知できない攻撃が発生する可能性は否定できません。また、技術的な対策は人を標的としたサイバー攻撃には比較的無力であり、一定の限界があります。
ツールを導入しただけで安心するのではなく、ツール類も複数のセキュリティ対策うちの1層と考え、それらを重ねて多層防御とすることでセキュリティレベルを高めていくことが重要です。
その多層防御の中でも、EDRが重要な役割を果たすことが少しでも伝わりましたら幸いです。