- 2021/12/24
- EDR
EDR製品を「運用性重視」で選ばないといけないわけ
Post by : Cybereason Japan Marketing Team
セキュリティ製品における運用の重要性
セキュリティ製品がほかのジャンルのIT製品と決定的に異なる点の1つに、「運用の重要性」があります。多くのITシステムはその設計や構築に多大な人手やコストが費やされ、いざ運用を開始した後は基本的には必要最低限のメンテナンス作業に終始します。
しかしセキュリティ製品は、導入よりむしろ運用の方が重要になってきます。むしろ、「運用こそがすべて」と言ってもいいかもしれません。セキュリティ製品の役目は、日々手を変え品を変え攻撃を仕掛けてくるサイバー脅威に対して、常に万全の防御体制を敷くことにあります。そのためには、日々変化し続ける攻撃の手口に素早く対応できるように、現在どのような攻撃を受けており、それに対してどのような対応が取れているのか、常に現状をチェックして最新の攻撃に備えられるようにしておかなくてはなりません。
そのため、セキュリティ製品を選ぶ際には、「運用のしやすさ」という観点を決して疎かにするわけにはいきません。もし運用効率が悪い製品を選んでしまうと、日々の運用に掛かる手間やコストがかさむばかりか、作業の煩雑さから運用の品質低下を招いてしまい、結果的に製品の導入効果を十分に引き出すことができません。
インシデント対応の効率に優れる「Cybereason EDR」
特にEDR製品の場合、その主な機能は「脅威を検知する」ことにあり、その後の対応は人手の作業が中心になります。そのため、製品の運用性の良しあしが、そのまま検知後の対応作業の効率に直結することになります。従ってEDR製品を選ぶ際には、ぜひ運用のしやすさに着目するべきでしょう。
例えば、弊社が提供するEDR製品「Cybereason EDR」には、セキュリティの核心に素早く到達できるAIハンティングエンジンが備わっています。これを活用すれば、いざインシデントが発生した際にログを分析して原因や影響範囲を探るための一次調査の作業を、極めて効率的に行うことができます。
同じく、Cybereason EDRには組織全体の状況を直感的に把握できるダッシュボード画面が備わっています。インシデント対応を行う場面では、大抵時間に追われていますが、Cybereason EDRのダッシュボード画面ならそうしたときも素早く状況を把握できるため、適切な対応を素早く取ることができます。
また攻撃をグルーピングして、複数の端末に対するパンデミックな攻撃でも一度に対処できる機能も備えています。これなら、万が一複数台への広範なマルウェア感染を許してしまったとしても、一度の処置で素早く確実に対応できるようになります。
脅威分析の迅速化・効率化を可能にするさまざまな機能
一方、脅威分析の専門家がCybereason EDRのログを調査する際にも、その作業を効率化できるようさまざまな支援機能が用意されています。例えば、ログを検索するための複雑なクエリを簡単に作成できる機能が提供されており、ユーザーは検索キーワードをクリック操作でつなぎ合わせるだけで簡単に検索条件を設定し、ログをさまざまな角度から分析して脅威を検知できます。
また、単にその時点での静的な状況を可視化するだけでなく、過去までさかのぼって「いつ/どこで/何がされたのか」を追跡できるようになっています。時系列に沿った感染の経緯や影響範囲の拡大を、分かりやすいプロセスツリーの形で表現してくれるため、素早い状況把握と調査が可能になります。
さらには、画面やレポートが日本語化されている点も、日本のユーザーにとってはメリットが大きいと言えます。海外ベンダー製のセキュリティ製品の中には、UIが英語のものも少なくありません。そうした製品は、何か新しいことを行うたびに英語のマニュアルと格闘しなくてはならず、どうしても運用効率が落ちてしまいます。特にインシデント対応作業は時間との戦いで、作業が長引く毛羽長引くほどその深刻度や影響範囲は広がっていきますから、UIが日本語されているか否かもEDR製品を選定する際には重要なポイントになります。
自社独自の運用に合わせるためのカスタマイズ機能も
運用の必要性に応じて、機能を柔軟に拡張できる点もCybereason EDRの大きな特徴の1つです。例えば、デフォルトで用意されたルールに加えて、自社のセキュリティポリシーに沿った独自のルールも追加できるようになっています。具体的には「カスタムルール」と呼ばれる機能を使って、各企業や組織が独自に定めたルールをCybereason EDRに追加できます。またIOCによるホワイトリストだけでなく、振る舞いのホワイトリストによってきめ細やかな設定を行い、過検知を減らすこともできます。
さらには、REST APIを通じてサードパーティー製のさまざまなセキュリティ製品と連携することができます。例えば、統合ログ管理製品「Splunk」、SIEM製品「IBM Qradar」「Exabeam」、SOAR製品「Demist」「Phantom」といった、世界中で広く使われている代表的なセキュリティ製品との連携アプリやAPIがすでに用意されています。またこれら以外の製品も、REST APIを用いて連携インタフェースを別途実装することができます。
以上で見てきたように、Cybereason EDRは日ごろの運用や、いざインシデントが発生した際の対応作業を効率化するためのさまざまな機能を備えています。せっかく高度な機能を備えた製品を導入しても、その使い勝手が悪ければ普段の運用で十分に活用されず、結果的に導入効果も半減してしまいます。特にEDRのように、日ごろの運用の品質によって導入効果が大きく左右されるような製品の場合は、運用のしやすさにぜひ着目して製品を選びたいところです。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033
