[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.24(水)

[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

研修・セミナー・カンファレンス セミナー・イベント
EDR (Endpoint Detection and Response)分野でガートナー社のクールベンダーに選定された米タニウム社が2015年秋、日本市場での本格展開を開始、日産自動車が同社製品の採用を決定し、話題となったことは記憶に新しい。

日本ではまだ始まったばかりのEDRだが、既存のアンチウイルス製品との違いや、今後の可能性について、米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏にRSA Conference 2016 USA が開催されたサンフランシスコで話を聞く機会を得た。

Kazanciyan 氏は、PwCを経て、マンディアント社で6年間インシデントレスポンスを経験した後、現在はタニウム社でチーフセキュリティアーキテクトを勤めている。


●侵害を前提としたエンドポイント対策

──タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

マルウェアの検出とブロックをエンドポイントで行う従来のアンチウイルス製品は、20年ほど前からありました。それらによる防御を突破されて侵害を受けた場合、何が起きたのかを突き止めるための調査を行うことになりますが、マルウェアの検知とブロックの自動化に特化しているアンチウイルス製品は、それができるように設計されていませんでした。

マルウェアによる侵害、もしくは内部犯行を許した場合、10~15年前であればフォレンジックを行っていました。しかしシステムが肥大化し、侵害の発生頻度が高くなったここ10年ほどで、メモリやハードディスクのビットコピーを解析するという伝統的なフォレンジック手法がスケールしないことが問題視されるようになりました。

そして現在、膨大な端末を管理する企業が、影響範囲の特定さえできない状況で、1台の解析に40時間を要することさえある従来の方法で調査を行うことは、まったく現実的でなくなりました。システムの規模に関わらず、アンチウイルスを潜り抜けた脅威の検知、およびそれに関わる調査と対応とを最小限のリソースで迅速に実施したい、というニーズの顕在化を受け、EDRは誕生したのです。

●セキュリティチームとITチームの協働

── Endpoint Detection and Response(EDR) の Response、つまり検知した脅威への「対応」の部分についてもう少し教えて下さい。

一口に「対応」といってもマルウェアの駆除、被疑端末のネットワーク的な隔離、盗まれた認証情報の再設定など、様々な作業が含まれます。それらをタニウムは第一層の「限定的な」レスポンスと呼んでいます。

しかし、タニウムが重視しているのは、第二層となる「サイバーハイジーン(Cyber hygiene:サイバー環境の衛生と健康の意)」と呼ばれるレスポンスです。その目的は、発見した問題を単純に修繕することではなく、侵害を許す根本原因となったセキュリティ上の弱点を解消することにあります。これはセキュリティチームではなく、ITオペレーションチームの仕事になるでしょう。

これまで私が実際に見てきた組織の多くでは、マルウェアをハントするチームと、設定管理やパッチ適用を行うITオペレーションのチームとは完全に別々でした。しかし、両者が協力すれば、さらに高い力を発揮できるはずなのです。ハンティングチームが検知した侵害から得た教訓のフィードバックを受けられれば、IT オペレーションチームはネットワークのセキュリティレベルの向上を実現できるでしょう。しかし、場当たり的な対応では何も変わらないのです。

●事前対策を担う「ハンティングチーム」

──EDR同様、「ハンティング」も日本では馴染みがない言葉です。従来のセキュリティ部門の業務とは何が異なるのですか。

現在でも多くのセキュリティチームが「事後対応(Reactive)」を充実させようとしています。しかし、さらなる進化を遂げるには「事前対策(Proactive)」が必要になります。

「ハンティング」の具体的な行動とは、守るべきシステムのデータを継続的に監視し、未知の脅威や不自然な挙動など「普通ではない何か」を探し求めることです。何を発見するのかわからないままシステムを探索することが狩りに似ていることから、タニウムはこれを「ハンティング」と呼んでいます。

理想的なEDR製品は、事前対策と事後対応の両方をサポートする必要があると考えています。技術的にも事前対策には大きな技術革新の余地が残されており、様々なセキュリティベンダがその改善に取り組んでいます。

攻撃手法や攻撃者が進化するスピードはあまりに早く、事後対応だけではその速度に追従することはできません。この現状を受けて、システムの規模に関わらず、迅速にデータの収集と解析とを行い、異常をいち早く検知するEDRが重要視されるようになったのです。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×