ホワイトペーパー

【セキュリティ】未知の脅威をアクティブに
封じ込める次世代型EDR ソリューション

 サイバー攻撃の手口が日々刻々と高度化・複雑化し続ける現在、エンドポイントを保護するための新しいソリューションとしてEDR(Endpoint Detection & Response)が注目されています。東京エレクトロンデバイスが提供する「SentinelOne Endpoint Protection Platform」は、脅威の検知から対応・修復までを可能な限り自動実行する「Active EDR」というコンセプトに基づいた、次世代エンドポイントセキュリティソリューションです。

  • 従来のセキュリティ対策が抱える課題とは?
  • 新たなソリューションとして注目を集めるEDR
  • Active EDR のコンセプトに基づいたSentinelOne
  • 検知・対応だけでなく「修復処理」も実現

従来のセキュリティ対策が抱える課題とは?

近年、サイバー攻撃の手口が急速に高度化・複雑化し、機密情報の窃取や重要データの毀損といった被害に遭うインシデントが後を絶ちません。多くの企業はインターネットと内部ネットワークの境界にファイアウォールやIDS/IPS(不正侵入検知/防御システム)を設置し、エンドポイントにはアンチウイルス製品を導入するといったセキュリティ対策を講じているはずです。それにもかかわらず、インシデントが発生してしまうのは、従来のセキュリティ対策だけでは次々に出現する未知の脅威に対抗し切れないからです。
 従来のエンドポイントセキュリティの対策は、既知の攻撃パターンを記録したデータベースに照らし合わせて脅威を検知・防御するシグネチャマッチング型が主流でした。その後も、仮想環境(サンドボックス)での検知や機械学習によるファイル解析と
いった、さまざまなアプローチが出てきています。
 しかしこれらの方法では、爆発的に増え続ける脅威をもれなく検知することは難しいのです。未知の脅威を推測・発見する過程では誤検知も多く、なかでもOSの正規ツールを不正操作して攻撃を仕掛けるファイルレス攻撃には、無力とも言える状況なのです。
 こうした状況を打破するために、最終的な攻撃のターゲットになっているエンドポイントでは、より一層強化した検知・防御の仕組みを導入する必要性が高まっています。そんな新しいエンドポイントセキュリティソリューションとして注目されているのが、EDR(Endpoint Detection & Response)です。

新たなソリューションとして注目を集めるEDR

EDRは、従来のセキュリティ対策のように脅威の侵入を未然に防ごうとするものではありません。たとえ侵入を許したとしても、感染の初期段階で素早く検知(Detection)・対応(Response)することで、情報漏えいなどの最悪の事態を避けるというコンセプトのソリューションです。エンドポイントの一挙手一投足をモニタリングし、ログとして常時記録をとりながら脅威を検知するという働きをします。「侵入を前提とした」という表現がよく使われますが、厳密には「感染を前提とした」ものなのです。
 米国の調査会社ガートナーによると、現在は全世界の約15%の企業がEDRを導入しています。2021年には大企業の80%、中規模企業の25%、小規模企業の10%がEDRを導入し、数年内には確実にEDRが標準的に導入されると見ています。実際、多くのセキュリティベンダーが続々とEDR市場に参入し、すでに激しい競争が始まっています。
 しかしながら、現時点のEDRには課題も指摘されています。EDRは本来、企業のセキュリティ監視・運用管理を代行するセキュリティオペレーションセンター(以下SOC)向けのツールとして誕生したという経緯があります。そのため、ツールを使いこなすには専門知識が必要であり、一般企業にとって運用管理のオペレーションは難しいものです。また検知してから対応するまでにタイムロスが発生してしまうと、想定以上のスピードで感染が広がってしまうという懸念もあります。