ホワイトペーパー
テレワークなど新しい働き方が広まる中で、セキュリティが脆弱になったエンドポイントを狙ったサイバー攻撃が活発化しています。従来から用いられたアンチウイルスに加えて、脅威が侵入した後の速やかな検知と対処を実現するEDRに注目が集まる一方、高度化する脅威に対するより強固なセキュリティの仕組みが求められます。その手段の1つとして、EDRをさらに発展させたXDRの有用性を解説します。
ビジネスのデジタル化や新型コロナウイルス感染症のパンデミックなどにより、企業を取り巻く環境が激変しており、働き方はその中でも最も大きく変化したものの1つと言えるでしょう。オフィスに出社して対面で働く環境から、在宅しながらオンライン環境を中心に業務をこなす環境への転換が求められています。
こうした働き方の変化にあわせて活発化したのがサイバー攻撃です。サイバー攻撃を行う犯罪者グループにとって、変化は最大の"チャンス"であるともいえます。新たな変化によって生まれる隙や、急速な変化に対応できずに放置されているセキュリティの脆弱性を狙い、さまざまなかたちで攻撃を仕掛けてきます。
サイバー攻撃の中でも、近年特に増えてきたのが「エンドポイント」を狙った攻撃です。オフィスへ出社する働き方では、社内外をファイアウォールなどの境界によって分け隔て、社内に侵入してくる脅威を検知するアプローチが主流でした。しかし、社内外を問わずに働ける環境では、ひとたび境界の外に出れば、境界防御による恩恵が受けられなくなってしまいます。そこで攻撃者が狙うのが、セキュリティ対策が不十分な環境に置かれたエンドポイント、すなわち従業員が自宅などに持ち帰ったPCやタブレット、スマートフォンなどです。
これまで企業のセキュリティ対策の多くはファイアウォールやIPS/IDSなどのネットワークセキュリティが担っていました。しかし、テレワークを中心とした新しい働き方が広がった世界では、社外との境界面に接することとなったエンドポイントに対してこれまで以上にセキュリティ対策を施さなければなりません。
ここで重要なことは、これまでネットワークセキュリティが提供してきた機能をいかにエンドポイントに展開していくかということです。また、ネットワークセキュリティが提供できなかった新しい機能についてもエンドポイントで実現していく必要があります。
そうしたニーズに応えるのが、EDR(Endpoint Detection & Response)です。EDRは、そもそもアンチウイルスが担っていたエンドポイントの境界の防御を突破して侵入してくる脅威をいかに素早く検知し、対処するかを目的に開発された技術です。アンチウイルスやIPS/IDSでは、境界を突破され内部に侵入してしまった脅威に対するモニタリングまでは対応できません。侵入後にしばらく潜伏してから活動を開始する脅威も増えている中、従来の技術では再び活動し始めたタイミングで脅威を検知することが難しかったのです。
そんな中でEDRは、振る舞い検知やAIを活用した検知、脅威のネットワーク隔離などの新しいセキュリティ技術などと連携しながら、エンドポイント上で脅威の迅速な対処を実現します。 「ポリモーフィック」や「メタモーフィック」といった検知を欺く技術や、プログラムが難読化されたマルウェアファイルの使用、PowerShellなどの正規プログラムを使ったりファイルレス攻撃を行ったりすることでアンチウイルスの検知を回避するなど、脅威は日々進化しています。もちろん、アンチウイルスソフトも従来から進化を遂げ、脅威の侵入を防ぐさまざまな技術をカバーしたEPP(Endpoint Protection Platform)として提供されるようになっており、現在は、EPPとEDRを組み合わせてエンドポイントセキュリティ対策を行うことが重要とされています。
内閣サイバーセキュリティセンターによる「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」では平時の対策としてEDRの利用を規定しており、総務省の「テレワークセキュリティガイドライン」などでも、EPPやEDRを示唆しつつ、次世代セキュリティ対策ソフトを利用することの必要性を説いています。