EDRの検討方法について

　最近はエンドポイント等の検知・分析・対応まで行うEDR（Endpoint Detection and Response）の導入を検討する企業も増えています。各業界や省庁を始め、セキュリティガイドラインに検知と対応の重要性が記載され、EDRの導入を推奨する記述も見られるようになりました。

　しかしながら、一言でEDRといっても多くのメーカーが開発・販売しており、導入を検討しても最終的に何を採用すればよいのかわからないお客様も多数います。そこで今回は特に中小企業がEDRを検討する際の3つのポイントについて述べたいと思います。

　Pointの1つ目が「ログの内容」です。

　ログとは、コンピュータの利用状況やデータ通信など履歴や情報の記録を取る事やその記録のことです。このログを使ってインシデントの際は脅威を追跡するため、十分なログ情報が確保されているかどうかが極めて重要になってきます。

　EDRで取得するログ情報は製品によってかなりばらつきがあり、何か起きた時のみのイベントログのみ取得するものや、常時ログを保存できるものまで、情報の量には大分差があります。また、そのログの保存期間もまちまちのため、肝心な時にログが使えないケースもあります。

　また、ログがどこで保存されているかも重要なポイントで、外資系の製品で海外のサーバーにログが保存される場合だと、インシデント時にログ情報の開示を求めても、中々出てこないケースもあります。

　したがって、ログ情報がどれだけの内容で、どこに保存されるのかチェックすることが大事です。

 　Pointの2つ目は「インシデントレスポンス」対応です。

　EDRの大きな機能「検知」と「対応」ですが、この「対応」にも製品によってバラツキがあります。EDRはエンドポイントへ侵入されることを前提としたソフトウェアです。従来型のウイルス対策ソフトでは防げない脅威に対して、突破されることを前提に検知をして対応できることが最大のメリットですが、この対応でまず最初に重要なことが、ネットワークから自動で遮断してくれるか否かになります。

　せっかく検知をしてもネットワークが繋がった状態では、感染を最小限に抑えることができず、被害が拡大するばかりです。この対応にはAIで自動で隔離する製品から、手動でするもの、お客様からの依頼で初めて対応するものなど様々あります。

　中小企業のリソースを考えると、やはり自動で遮断できる機能がないと、肝心なときに役に立たないものになってしまいます。

　最後は「検知の内容」です。

　検知する内容の精度が高くなければ、当然ながら新しい攻撃には対処できません。メーカーが脅威情報をどれだけアップデートし、EDR製品に反映させているかは非常に重要なポイントになります。　

　検知の内容にも製品によって大分異なるケースもあり、本来のEDRの役目を果たしていないものもあります。従来型のウイルスソフトと同様、パターンファイルに頼った検知だけなら注意が必要です。

　日々、脅威情報が更新され、定期的に製品アップデートが自動でされる製品を検討すべきです。

　弊社もEDRを取り扱っておりますが、上記3つの観点から製品の案内を致します。

✓ログの内容

　Keepeyeはログを国内のサーバーで保存、管理しています。したがってインシデント発生時の調査の際も、タイムリーにログ情報を参照することが可能です。また、常時ログを取得しているので、原因究明のために日にちを遡って確認することができます。

✓インシデントレスポンスの内容

　KeepeyeはAIと専門アナリストによる二段構えの体制を取っています。万一侵入を許し、マルウェアの検知をした際は、ネットワークの隔離から駆除まで自動で対応し、お客様の手を煩わすことはありません。

✓検知の内容

　Keepeyeは最新の脅威情報を日々アップデートし、最新の攻撃手法に対処するため常に最新の状態を保っています。未知の脅威に対しても、AIやアナリストが分析をし、対応が必要なものは自動で対処しますので安心です。

　EDR導入の検討の際はお気軽にお問合せ下さい。