オプション紹介で紹介してきましたISM LogAnalyticcsとふるまい検知を活用したEDRソリューションを改めてご紹介させていただきたいと思います。
ISM CloudOne活用術 オプション紹介その他ISM CloudOneの使い方などを紹介したお役立ち資料もございます。
以前にセミナーで紹介もしていますが、少しバージョンアップもしましたので改めて全体像をお話しします。
EDRとは?
EDR(Endpoint Detection and Response)とは、組織内のネットワークに接続されているPCやサーバーなどの端末(エンドポイント)を監視し、不審な挙動を検知する通知するセキュリティ・ソリューションです。
EDRは、高度化するサイバー攻撃をアンチウイルスやファイアウォールなどの従来型のセキュリティ・ソリューションでは防ぎきることが難しいため、組織内部に侵入した場合を想定し、迅速に検知、対応することによって被害を最小限に抑えることを目的としています。マルウェア感染しないこと・感染から防御することを目的としたアンチウイルスソフトと大きく違う点です。
具体的には、パソコンやサーバーの状況および通信内容なを常時監視します。監視するために対象のエンドポイントのログを収集します。集められたログを分析し異常、あるいは不審な挙動があれば管理者に通知します。管理者は通知を受けた後、ログの内容をさらに精査することで問題の根本原因や影響範囲を調べて対策を講じます。
こちらのコラムでさらに詳しく説明しておりますので、あわせてお読みいただければと思います。
【図で解説!】振る舞い検知(NGAVやEPP)とEDRの違いとは?セキュリティ対策における役割や仕組みを解説
メリット
- 早期に発見することができる
- 直ちに対処することが可能
- 感染要因を分析することで再発防止が講じられる
- 影響範囲の特定が迅速に行えるため早い復旧が可能になる
メリットの中で注目すべきなのは、3つめの「感染要因を分析することで再発防止が講じられる」ではないでしょうか。マルウェア感染は誰か一人が起こすのではなく複数同時もしくは複数回起きるものです。
この様な場合に再発防止策を立て実行できる事はとても有益だと思います。
デメリット
- コストが掛かる(結構な金額になるケースも)
- 運用が回らない
- 専門知識が必要となり、その人材が社内にいない もしくは 不足
- 侵入されることを前提にする
デメリットの中で注目するのは、「侵入されることが前提」と云うことです。人材不足により運用が回らない中で侵入されたらその企業はどうなるでしょうか。
考えただけでも怖い話です。
ISM CloudOneのEDRソリューションとは?
本来のEDRの良いところを集めて少しでもデメリットを無くして提供したいという想いで作られたこのソリューションは、2つのオプションを組み合わせることにより実現することができます。
ふるまい検知の役割
ふるまい検知は従来のパターンマッチング型のアンチウイルスソフトとは違い、マルウェア特有の振る舞いを5つのエンジンで監視し、検知する次世代型アンチウイルスソフトです。
ふるまい検知の優れた点は、侵入を良しとせず未然に防ぐことを重要視している点です。EDR製品は侵入されることを前提に検知・隔離といった防御ができることがメリットですが、ふるまい検知は、独自の先読み技術で未然に防ぐ事ができます。
ふるまい検知は、その名の通りマルウェア特有の振る舞いを見て判断するため既知・未知関係なくエンドポイントを防御することが可能です。また、不審なファイルを専門家が白黒判定してくれるサービスもあるため安心してご利用いただくことができます。
ふるまい検知を利用せずプロキシサーバー・ファイイヤーウォール・UTMといったネットワーク側の監視強化をすることでセキュリティの強化を図ることは可能ですが、これらはパターンマッチング型のアンチウイルスソフトと同様、既に検知された通信をベースに制御を掛けるため未知の通信を制御することはできません。
管理者は、このふるまい検知で検知されたマルウェアを使って次の段階の調査・分析というフェーズに入ります。
ISM LogAnalyticsの役割
ISM LogAnalyticsは、PCなどの操作ログを取得できる機能です。ISM CloudOneには以前から操作ログ取得機能がありましたが、これと比べると「プロセス稼働」「ウインドウタイトル」「FTP操作」「Web会議」といったログも収集できる様になりました。
ふるまい検知で検知・隔離されたマルウェアから同種のマルウェアがないかを調べる(拡散状況の確認)事ができます。
マルウェアが発見された場合には管理者がふるまい検知コンソールより隔離することもできるため社内の感染を最小限に抑えます。
また、ISM LogAnalyticsでは検知したマルウェアの侵入経路を調査する(トレース機能)ことができます。原因を突き止め、再発防止の為の社内教育やURLフィルタリングでアクセスを禁止するといった設定変更を加えることでさらなるセキュリティの強化が図れます。
さらに拡散状況の確認やトレース機能は、今までふるまい検知のみの対応でしたが、現バージョンよりトレンドマイクロ社のウイルスバスター ビジネスセキュリティサービス(VBBSS)にも対応し、より多くの方にお使いいただける様になりました。
このソリューションのメリット
- 感染を未然に防ぐ事ができる
- 直ちに対処することが可能
- 感染要因を分析することで再発防止が講じられる
- 影響範囲の特定が迅速に行える
EDRの様にネットワークやエンドポイントのあらゆるログを取得することもなく、また専門知識のある人材が不足していても、解決策を導き出すことができます。
このソリューションのデメリット
- ISM LogAnalyticsとふるまい検知それぞれのエージェントインストールが必要
- ISM CloudOneと別のコンソールを操作する必要がある
- EDRでしなければいけない「復旧」がこのソリューションではできない
- 分析できるログの種類が少ない
エージェントのインストールに関しては、自動配布になりますので手間のご心配はありません。またISM CloudOneのコンソールとは異なるコンソールで操作する必要はありますが、シングルサインオンのため再ログイン等の手間はありません。
まとめ
このソリューションは「EDR」というにはおこがましいのですが、それぞれのオプションの特長を生かした良いソリューションだと思います。2022年秋・2023年春と2つの情報セキュリティEXPOでこちらのソリューションを多くの方に紹介したところ、とても高評価でした。サイバー攻撃対策は管理者の皆様にとっては頭の痛い問題だと思います。もしこのソリューションが一助になれば嬉しい限りです。
この2つのオプションは、30日間の無料トライアルでお試しいただけますのでご興味あれば、こちらよりお申し込み下さい。
※本格導入前のご検討でしたらぜひ顧客コードをお知らせいただければと思います。ちょっとお試しで使ってみたいというご希望でしたら顧客コードのご記載は不要です。
