サイバー攻撃の手段は段々と高度化してきており、既存のウィルス対策ソフトでは対応しきれない場合が多くなってきました。
「EDR」を利用すれば、怪しい”動作”を検出することができますので、高度化してきているサイバー攻撃にも対応できます。
「EDR」という新しい対策手法を一緒に勉強しましょう!
(目次)
EDRとは?
EDRとは、パソコン、サーバー、スマホなどエンドポイント上での操作や動作の監視を行い、サイバー攻撃を受けたことを検出及び対処するソフトウェアです。
主な機能(1):パソコン内を常時監視
パソコンにEDRエージェントをインストールし、パソコン内を常時監視しています。監視する対象は、パソコン利用者の操作や、パソコンのバックグラウンド動作などすべての挙動を監視し、ログとして保存しています。
主な機能(2):ログデータを管理サーバに送信・解析
パソコン内で収集したログは、管理サーバに常時送信され、ログ内容を解析しています。この解析の中で、怪しい動きやサイバー攻撃の予兆がないかを確認しています。
主な機能(3):エンドポイント状態の可視化
エンドポイントから収集したログは、管理サーバ内で整理され、エンドポイントの状態がわかるように常に可視化されています。
怪しい動作をしたパソコンに関して、どのような動作をしたのか?誰が使っているのか?等、詳細な状態を即座に確認することができます。
主な機能(4):サイバー攻撃の兆候があったら、検知
これが最も重要な機能ですが、分析の結果、サイバー攻撃の予兆を見つけたら、管理者に通知をしてくれます。
既存のウィルス対策ソフトとの違い
既存のウィルス対策ソフトは、パターンマッチング方式
既存のウィルス対策ソフトは、パターンマッチング方式で、ウィルスを判定・検出しています。
パターンマッチング方式とは、これまでに発見されたウィルスの型と一致(もしくは似ている)ファイルをウィルスファイルと判定する方式です。
パターンマッチング方式の場合、まったく新しい攻撃手法を持ったウィルスファイルはウィルスと判定されず、すり抜けてしまうリスクがあります。
EDR製品は、動作に着目
対して、EDR製品は動作に着目しています。
ウィルス活動やサイバー攻撃活動などの手口は、同じような手口が使われます。(例:ネットワーク内にどんなパソコンが存在しているか確認。パソコン内のログ情報を消す。等)
EDR製品は、こういった「怪しい行動」が見られたら「サイバー攻撃の疑いあり!」と検出を行います。
ですので、既存のパターンマッチング方式では検出できないようなサイバー攻撃も検出することができます。
EDR製品選定のポイント
EDR製品はさまざまな製品が存在します。製品選定のポイントとしては、以下のようなものがあります。自社の環境に合わせて、製品選定を行いましょう。
検知能力・分析精度
サイバー攻撃は日々高度化しています。最新の攻撃手法に対して、防御できる検知能力を有しているかどうか確認する。
対応しているOS
社内にあるパソコン・サーバのOSに対してインストールできるか確認する。
(EDR製品が動作保証を行うOSとなっているかどうかを確認)
管理サーバの見やすさ
管理画面が見やすいか確認します。複雑な画面だと、サイバー攻撃発生した際に手間取り、対応が遅れるリスクがあります。
既存マルウェア対策ソフトとの相性
既存のマルウェア対策ソフトは、既知のマルウェアを見つける必要があるため、導入必須です。
既存のマルウェア対策ソフトとEDR製品をひとつのパソコンの中に同時インストールしても問題ないかを確認します。
パソコンへあたえる負荷
EDR製品をインストールした場合にパソコンにどれくらい負荷があるのかを確認しましょう。社内で一般的に使われているスペックのパソコンにインストールしてみて、パソコンの動作スピードが通常業務に耐えられるスピード感かを確認してください。
ベンダーのサポート対応力
サイバー攻撃が発生した際は、EDR製品のログ解析や個別の調査依頼をする可能性が高いです。万が一の時に相談に乗ってくれるサポート対応力を持っている会社かどうか確認しましょう。
