「EDR？ あるよ」～ NOC＋SOC＋エンドポイント監視、NetStareが目指すところ

　セキュリティ業界を席巻する流行やバズワードにちっとも乗らないセキュリティ企業というのがあって、単に会社自体に覇気がなくなっているケースもあるが、中にはプライドや気骨があってそうしている会社もある。

　ひと昔前なら年金機構の事件の直後、メール訓練が必要以上に脚光を浴びた一時期があって、技術もわからないコンサル系の企業までが、続々と参入障壁が低い（と誤解して）メール訓練サービスを提供開始したものだった。「メール訓練はじめました」というわけだ。

　三菱重工やロッキードなど、それまで難攻不落の要塞と見なされていた企業が次々と APT に屈した直後は「出口対策」という言葉が一瞬バズワードになったのも思い出す。

　出口対策とは、マルウェアが外部の C2サーバなどと通信するのを検知してブロックするなどの対策で、それ自体の有効性を何ら否定するものではないが、「出口対策？」「はぁ？」「入り口はどうなったの？」「ゲートウェイ（入口）にこれさえ置いとけば安全だって言ってたのオマエだよね？」と、当時誰もが思ったものだった。まあ時代が変わったのだ。

　近年では「EDR（Endpoint Detection and Response）」が、やはり半ばバズワード化して脚光を浴びている。

　こうした「注目の新技術」キャンペーン、新しい製品カテゴリを広く知らしめる一種の「祭り」の肯定的な側面を挙げるとしたら、各ベンダーが競争したり、たくさん情報発信がなされることで、製品の多様性が増したり、比較や検討の幅が広がったりすることなどが挙げられる。

　一方でデメリットを挙げるなら、声の大きい人の話だけしか聞こえない状況に陥り（だいたいサイバーセキュリティ市場というのはそういうもの）、ただでさえ多忙な管理者が本当に必要なものが何かを考える機会を奪うことになった結果、要りもしない製品を買ってしまったり、運用できない製品を導入してしまうことなどが挙げられるだろう。

　こうしたバズワードや流行に対するセキュリティ企業の態度はいくつかあって、まず「積極的にそれに乗っかっていく（中にはバズを作り出す側だったりすることもある）」、次に「一定の距離をとって中立を保つ」、最後に「バズワードに積極的に『乗らない』」、あるいは身をよじってでも「セキュリティだんじり」の祭りの列から抜け出そうとする態度である。

　「EDR だんじり」に対して大阪の SOCサービス NetStare が近年とった態度は、三番目にあてはまるものだったように思う。

　株式会社セキュアヴェイルが提供する SOCサービス「NetStare（ネットステア）」の EDR対応に携わった同社取締役常務執行役員 セキュリティサービス本部 本部長 白石 達也（しらいし たつや）と、セキュリティサービス本部 東日本技術部 グループリーダ 佐野 達城（さの たつき）に話を聞いた。

--

　佐野が白石から「NetStare が EDR対応をする」と声をかけられたのは、2021 年の 6 月頃だったという。

　NetStare は、千代田区や中央区の SOC企業の約半額（関西価格）の価格帯で全国に SOCサービスを提供する企業で、コストパフォーマンス以外にも見逃せない特徴がある。

　ひとつはログ収集分析基盤である「LogStare（ログステア）」を自社内製開発していることによる、各種ネットワーク機器やセキュリティ機器のアップデートやログフォーマット等の変化に対する小回りの利く追従である。これがたとえば Splunk 等を使っていたりすれば、機能では当然圧倒的優位であるものの、ライセンス費用からコストパフォーマンスは低下するし、またたとえば、富士通製国産UTM のバージョンアップへの追従などのローカルな変化等へのスピード感はあまり期待できなくなる。

　もうひとつは、SOC を運用する人材育成の標準化を積極的に行っており（単一プラットフォームなので相対的にラク）、きょうび貴重なセキュリティ人材を派遣する事業を行うほどの人材層の厚さだ。

　これは書いてはいけないことらしいが、結構名の知られた SOC のオペレーターの一部あるいは多く、あるいは時間帯によって、人員がセキュアヴェイルグループから派遣されていた事実等があった。格闘技選手の減量並みにセキュリティ人材不足の渇きに苦しんでいる業界の状況下で、練度の高い人材を「売るほど擁している」というのはあまり例がない。分析基盤が単一なので標準化しやすく、相対的にスキルを高めやすいことが一因である。

　そして NetStare の最大の特徴のひとつが、SOCサービスと NOCサービスを完全融合させている点である。インフラの安定稼働などを見る NOC と、サイバー攻撃の検知や防御などを行う SOCサービスは、大きな会社では部門が異なっていたり、横の繋がりも強いものではない場合があり、NOC と SOC を別々にアウトソースする例などもあるが、NetStare においてはこの二つが単一サービスとして提供されている。生活安全課とマル暴を兼務する刑事のようなサービスだ。

　NetStare は、ネットワーク機器とセキュリティ機器双方のログを分析する複眼的監視によって、特に異常の早期解決や、脅威の予兆察知などにおいて力を発揮する。これについてはかつて取材記事を書いたのでそちらを参照して欲しいが、この NOC と SOC が一体となった NetStare に足りなかった最後のピース「エンドポイント（EDR）」が加わった。

　白石から「EDR に対応する」と指示が下る前から、佐野は毎月の月次報告書を出す際に、ネットワークと UTM の監視報告だけではユーザーが物足りないのではないかと感じていたという。コロナ以降、主にリモートワークによって境界型セキュリティの有効性が相対的に低下し、ランサムウェア被害増加などに伴って、EDR対応有無の問い合わせが増えていることを聞いてもいた。

　また佐野自身、これまで IPS に限定してきたリアルタイムのインシデント対応をもっと拡張すべきであると考えていた。「念願の EDR 対応だった（佐野）」という。

　記念すべき最初の対応製品に選ばれた EDR は、Falcon でも Cybereason でもなく、SentinelOne というのが渋い選択である。国内シェアはまだ高くはないものの、特に EPP機能（防御機能）に力を入れており、侵害発生前の状態に時間を逆戻しする「ロールバック」を目玉機能のひとつに持つ製品である。

　取材では、EDR のもう半分の重要機能である「侵害発生後の分析」の話より、侵害そのものをいかに防ぐかという、セキュリティの王道ともいえる検知とプロテクトの話に焦点が置かれていた。要は防ぐ気満々ということだ。加えて、高性能な EDR につきものの「誤検知」「過検知対応」など、クライアントの負荷をいかに減らすかの話も多かったことも印象的だった。NetStare の顧客には、大阪にある日本を代表するあの製造業なども名を連ねるが、顧客のボリュームゾーンはセキュリティ担当者が満足にいないような中堅や大手である同社ならではの方針だろう。

　それにしても、何度かセキュアヴェイルグループのキーパーソンやサービスの取材を行っていたにもかかわらず、SOCサービスが EDR に正式対応していたことは今回取材を行うまで全く知らなかった。過去の情報を調べてみるとそれもそのはず、プレスリリースを出してはいるのだが、タイトルに「EDR」の「E」の文字すら存在しないのだ。

「EDR」の「E」の文字すらない問題のプレスリリース

　これは単に謙虚なのか、あるいはベンダー側からの何らかの要望か。詳しい事情までは聞きそびれたが、そもそもこの会社には、各種バズワードに乗っかる企業風土が端から（はなから）無い、それどころか小馬鹿にしている風すらあることも理由のひとつではないかと推測する。

「冷やし中華はじめました」ばりに「EDR はじめました」と声高に喧伝するのではなく、「マスター、EDR ある？」と聞かれて初めて「あるよ」と、ぼそっとつぶやくダンディズムではあるまいか。

　推測で適当なことをまた書きやがってと言われそうだが、この会社に関してはそれがあるような気がする。なぜなら、流行りのバズワードをふりかざした結果「金だけ持ってる馬鹿」「プロセスを理解せず結果だけ求めるため未来に向かった建設的な話ができない困った人」が来られたりしたら、むしろ会社が迷惑する、他の顧客のサービスに悪い影響が出る、そんな風に考えかねない気骨が株式会社セキュアヴェイルには間違いなくある。マーケットより顧客との関係や提供する価値を優先しているというべきか。

　新しいセキュリティ対策がバズワード化することの弊害として、大きい声しか聞こえなくなることで本当に必要なものがわからなくなったりすると冒頭で書いたが、それ以外にもうひとつ、他の重要な対策への注目度が相対的に下がってしまうことも挙げられる。

　EDR が脚光を浴びてエンドポイントの重要性が認識され対策が進んだことは実に素晴らしいことだが、オフィスが存在せず、社員は一人残らずリモート勤務、システムや資産はすべてクラウドで、オンプレミスが存在しない、そんな企業でもない限り、ゲートウェイセキュリティの意味がなくなったわけではない。

　実際、昨 2022 年に猖獗（しょうけつ）を極めたランサムウェア被害の実に多くが、エンドポイントの手前、VPN機器の脆弱性を突かれたものだった。

　最後に付記しておくと、NOC と SOC が融合したサービスを提供してきた NetStare に EDR が加わったことで、企業のネットワークと IT資産全領域を網羅的になめてそれを分析し、異常や攻撃あるいはその前段階の予兆を察知するという点で（自動化や AI による学習や分析といった要素は足りないかもしれないが）思想的に NetStare は「XDR」に近いサービスになっていると思う。

　しかしこんなことを書くと「XDR なんてそんな阿呆みたいなバズワードでうちのサービス言わんといてくれ」と言われそうである。確かに XDR なんて何をいまさら、気の利いた MSS なら 20 年前からずっとやってきたことである。