2019年、最も脚光を浴びたITセキュリティキーワードの一つに「EDR(Endpoint Detection and Response)」がある。エンドポイントで検知(Detection)し、対応(Response)する機能を持った製品を指すが、近年はEDRという言葉がバズワード化し、「高度化する攻撃に対処できる、次世代の防御手法」という曖昧な認識しか持ち合わせていない企業も珍しくない。
曖昧な認識のままEDRを導入した企業は、思わぬ運用の難しさや過検知の対応に追われて疲弊し、その事例を聞いたEDR未導入の組織は「結局、EDRは使えないものだったのでは」という認識に落ち着く――。おそらく、それこそがEDRを取り巻く現状だ。
しかし、EDRが持つ本来の威力はこのバズワードが持つ印象とは別のところにある。今回は年間300件以上のサイバー事故の対応で企業を支援し続けてきた、ラックのサイバー救急センターのフォレンジックサービスを担当する佐藤 敦氏、そしてサイバー救急センター長の鷲尾浩之氏に本来あるべきEDRの認識、製品選定のポイント、企業ごとの適切な運用方法を聞いた。
近年、シグネチャベースのアンチウイルス製品では猛威を振るうランサムウェアや、2019年10月後半より被害報告が増えているマルウェア「Emotet」に対応できなくなっていることなどを背景に、EDRへの注目が過熱している。NIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワークや経済産業省のサイバーセキュリティ経営ガイドラインが、防御(Protect)だけでなく、侵入を検知(Detect)し、対応(Respond)し、速やかに復旧(Recover)させることの重要性を指摘していることも相まって、キーワードを耳にした経営層が「ウチもEDRで守るぞ!」とトップダウンで導入を決めることも珍しくない。
結果としてEDRの導入自体が目的となり、何ができるかをよく理解しないまま「次世代アンチウイルスのように、有事の際に隔離できればよい」という感覚で活用をはじめてしまうケースが後を絶たない。「世の中でEDRの認知率や導入率が向上していたとしても、実際にその強みを発揮できているかというと判断が難しい」と佐藤氏(ラック サイバー救急センター フォレンジックサービスグループ グループマネージャー)は述べる。
Copyright © ITmedia, Inc. All Rights Reserved.
ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。