確実なサイバーセキュリティを考えたEPPとEDRの導入とは

7月27日, 2022blog

ランサムウェア被害が増える中で、どうやって予防や防御を整備していけば良いのか?、一般的に最低すべきことは、以下のことが様々なところで言われています。

① OSやアプライアンス製品のファームウェアを最新状態で維持

② アンチウィルスソフトのシグネチャーの更新(もしくはシグネチャーレスな次世代アンチウィルスソフトの導入)

③ 不審なメールの添付ファイルやリンクを開かない

④ パスワード対策(複雑化、定期更新など)⇒多要素認証の導入

などがあります。そしてこの中でウィルス対策に関しては、EDR(Endpoint Detection and Response)を導入して既存のアンチウィルスソフトで防御できないものを検知して対応する企業が増えています。

このEDRですが、実は厄介ものでアンチウィルスソフトは居れればある意味済んでしまうものですがこのアンチウィルスソフトで発見・駆除できないものを検知して対応するものになります。それ以外に侵入状況など様々な情報を集め、解析を行って対策に繋げることも可能です。

EDRは導入では、正常に動作をさせるためのチューニングが必要な製品になります。誤った設定をすることで正しいプログラムを強制停止をして業務に影響を与えてしまうことも少なくないです。

一般的に、既知のウィルスやマルウェアはシグネチャータイプのものでも検知・駆除が可能ですが、亜種であったり未知のウィルスやマルウェアはシグネチャータイプでは検知できず、EDRでの検知と対応になります。

ここまで話すと想像がつくかと思いますが、アンチウィルスソフトでの検知率がEDRへの依存度合に繋がります。EDRでは、予め設定されたパターンに合致すれば自動処理をします。その自動処理も問題の封じ込めまでを行うか、アラートで知らせるかを選択できます。

アラートで知らせる設定をした場合には、そのアラートでSOCやCSIRTのプロフェッショナルの人的な対応が必要になります。

昨今発生したランサムウェア被害でもEDRは導入していて検知アラートを出していたにも関わらず被害にあってしまったケースがあります。

確実なエンドポイントのサイバーセキュリティ対策を実現するためにEDRは必要不可欠です。そしてEDRを含めたエンドポイントプロテクションを考える上で重要な点は以下の点になります。

① 検知度の高いアンチウィルスソフトの導入

② EDRの監視・運用体制の整備

③ CPUへの負荷

これを提供されたテンプレートのみで設定したり、シグネチャー型のアンチウィルスソフトを導入するとEDRを導入しつつも十分なサイバーセキュリティ対策が出来ないまま、ユーザがPCで操作を行うことになります。

もう一つは、CPU負荷です。ウィルス対策は重要ですがその対策のためにCPUに大きな負荷を掛け、結果として生産性を落としてしまうこともあります。

2018年頃からあるEDRを導入したユーザが最近Windows環境の更改の際にCPU負荷が高かったことからEDRを一時的に停止したことがあると聞きました。

ウィルス対策はこうした苦労の中から確実なサイバーセキュリティ対策が生まれます。

ウィルス対策では、TrendMicro、Symantec、MS Defender、Cybereasonなど多くの製品が出ています。どれも優れた製品ですがだからといってお客様の環境に最適化は別だと考えています。

また、EDRの運用にリソースやスキルに不安のある方がMDRというサービスをお勧めします。

今一度、選定のポイントを明確にして明日のサイバーセキュリティ対策を目指してください。