[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは？～タニウム社チーフセキュリティアーキテクトに聞く

タニウムが注力している EDR（Endpoint Detection and Response）は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

研修・セミナー・カンファレンスセミナー・イベント

2016年4月14日（木） 09時45分 PR

米タニウム社チーフセキュリティアーキテクト Ryan Kazanciyan 氏

EDR (Endpoint Detection and Response)分野でガートナー社のクールベンダーに選定された米タニウム社が2015年秋、日本市場での本格展開を開始、日産自動車が同社製品の採用を決定し、話題となったことは記憶に新しい。

日本ではまだ始まったばかりのEDRだが、既存のアンチウイルス製品との違いや、今後の可能性について、米タニウム社チーフセキュリティアーキテクト Ryan Kazanciyan 氏にRSA Conference 2016 USA が開催されたサンフランシスコで話を聞く機会を得た。

Kazanciyan 氏は、PwCを経て、マンディアント社で6年間インシデントレスポンスを経験した後、現在はタニウム社でチーフセキュリティアーキテクトを勤めている。

●侵害を前提としたエンドポイント対策

──タニウムが注力している EDR（Endpoint Detection and Response）は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

マルウェアの検出とブロックをエンドポイントで行う従来のアンチウイルス製品は、20年ほど前からありました。それらによる防御を突破されて侵害を受けた場合、何が起きたのかを突き止めるための調査を行うことになりますが、マルウェアの検知とブロックの自動化に特化しているアンチウイルス製品は、それができるように設計されていませんでした。

マルウェアによる侵害、もしくは内部犯行を許した場合、10～15年前であればフォレンジックを行っていました。しかしシステムが肥大化し、侵害の発生頻度が高くなったここ10年ほどで、メモリやハードディスクのビットコピーを解析するという伝統的なフォレンジック手法がスケールしないことが問題視されるようになりました。

そして現在、膨大な端末を管理する企業が、影響範囲の特定さえできない状況で、1台の解析に40時間を要することさえある従来の方法で調査を行うことは、まったく現実的でなくなりました。システムの規模に関わらず、アンチウイルスを潜り抜けた脅威の検知、およびそれに関わる調査と対応とを最小限のリソースで迅速に実施したい、というニーズの顕在化を受け、EDRは誕生したのです。

●セキュリティチームとITチームの協働

── Endpoint Detection and Response（EDR）の Response、つまり検知した脅威への「対応」の部分についてもう少し教えて下さい。

一口に「対応」といってもマルウェアの駆除、被疑端末のネットワーク的な隔離、盗まれた認証情報の再設定など、様々な作業が含まれます。それらをタニウムは第一層の「限定的な」レスポンスと呼んでいます。

しかし、タニウムが重視しているのは、第二層となる「サイバーハイジーン（Cyber hygiene：サイバー環境の衛生と健康の意)」と呼ばれるレスポンスです。その目的は、発見した問題を単純に修繕することではなく、侵害を許す根本原因となったセキュリティ上の弱点を解消することにあります。これはセキュリティチームではなく、ITオペレーションチームの仕事になるでしょう。

これまで私が実際に見てきた組織の多くでは、マルウェアをハントするチームと、設定管理やパッチ適用を行うITオペレーションのチームとは完全に別々でした。しかし、両者が協力すれば、さらに高い力を発揮できるはずなのです。ハンティングチームが検知した侵害から得た教訓のフィードバックを受けられれば、IT オペレーションチームはネットワークのセキュリティレベルの向上を実現できるでしょう。しかし、場当たり的な対応では何も変わらないのです。

●事前対策を担う「ハンティングチーム」

──EDR同様、「ハンティング」も日本では馴染みがない言葉です。従来のセキュリティ部門の業務とは何が異なるのですか。

現在でも多くのセキュリティチームが「事後対応（Reactive）」を充実させようとしています。しかし、さらなる進化を遂げるには「事前対策（Proactive）」が必要になります。

「ハンティング」の具体的な行動とは、守るべきシステムのデータを継続的に監視し、未知の脅威や不自然な挙動など「普通ではない何か」を探し求めることです。何を発見するのかわからないままシステムを探索することが狩りに似ていることから、タニウムはこれを「ハンティング」と呼んでいます。

理想的なEDR製品は、事前対策と事後対応の両方をサポートする必要があると考えています。技術的にも事前対策には大きな技術革新の余地が残されており、様々なセキュリティベンダがその改善に取り組んでいます。

攻撃手法や攻撃者が進化するスピードはあまりに早く、事後対応だけではその速度に追従することはできません。この現状を受けて、システムの規模に関わらず、迅速にデータの収集と解析とを行い、異常をいち早く検知するEDRが重要視されるようになったのです。

[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは？～タニウム社チーフセキュリティアーキテクトに聞く

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

Windows DNS の脆弱性情報が公開

バッファロー製無線 LAN ルータに複数の脆弱性

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

OpenSSLにサービス運用妨害（DoS）の脆弱性

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

インシデント・事故 記事一覧へ

インフォマート 公式 Facebook ページに不正ログイン

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

インフォマート公式 Facebook ページに不正ログイン

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

調査・レポート・白書・ガイドライン記事一覧へ

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ