EPPをすり抜けて感染にまで至った脅威をEDRで検知

EDR(Endpoint Detection and Response)はエンドポイント端末を常時監視し、マルウェア感染が疑われる不審な動きを検出したら即座にこれを通知する仕組みのことを指します。つまり端末が既にマルウェアに感染していることを前提とした、いわゆる「事後対策」のためのものです。

一方、感染に至る前に脅威を検知・除去するための仕組みが、旧来のアンチウイルスやその進化系であるEPP(Endpoint Protection Platform)です。これらはファイルのスキャンやパターンマッチング、振る舞い検知といったさまざまな技術を用いて、マルウェアを自動的に検知・隔離してくれます。ただし近年のサイバー攻撃の手口は極めて巧妙なため、アンチウイルスやEPPだけで感染を100%防ぐのは極めて困難なのが実情です。

そこでEDRの出番となります。アンチウイルスやEPPをすり抜けて侵入してきた脅威を、エンドポイント端末上でEDRが検知することで、全体として漏れのない対策が可能になるわけです。EDRはこのように、アンチウイルスやEPPで捕まえきれなかった脅威を相手にするため、「黒か白か」を容易に判別できるものは極めて少なく、グレーのものがほとんどです。そのためアンチウイルスやEPPのように、自動的に「白か黒か」を判別することは難しく、どうしても人手による評価や判断のプロセスが欠かせません。

EDR製品の中には脅威を自動的に判別・隔離できる機能を謳ったものもありますが、これらはEDRの機能を自動化しているというよりは、EDR製品の中にEPPの機能を包含していると理解した方が正確でしょう。ちなみに弊社ではEDRとEPPの機能を明確に分けており、EDRは「Cybereason EDR」、そしてEPPは「Cybereason NGAV」という個別の製品で提供しています。

人手による評価・分析が欠かせないEDRを使いこなすために

先ほども述べたように、EDRはアンチウイルスやEPPの脅威判別ロジックを巧みにすり抜けてきた脅威を検知するための技術なので、一度製品を導入したら後は勝手に脅威を判別・隔離してくれるという、いわば「オートマチック」な仕組みではありません。EDRが検知した内容を人が見て評価し、「これは脅威なのか、それとも無害な現象なのか?」「その深刻度はどの程度か?」「具体的にどのような対処を行うべきか?」といった点について都度判断する必要があります。

しかしEDRを導入したすべての企業・組織が必ずしも24時間×365日体制で検知に即応して、こうした判断を正確に下せるとは限りません。そこで弊社ではCybereason EDRを使った脅威監視を代行し、万が一アラート通知が発生した際にその内容を分析して取るべく対処についてアドバイスする「Cybereason MDR」というサービスも提供しています。

Cybereason EDRと一緒にこのサービスを導入すると、ユーザーが導入したCybereason EDRから上がってくるアラートを弊社が直接運営するSOCで24時間×365日体制で監視し、もし緊急対応が必要な脅威が検知された際には電話とメールで通知するとともに、詳しい解析結果と具体的な対処方法についてメールやポータルサイトでご案内します。こうしたサービスを有効活用することによって、運用に人手が掛かりがちなEDRを最小限の運用工数で使いこなせるようになります。

NGAV・EDR・MDRの組み合わせでEmotetをシャットアウト

ちなみに、近年多くの被害が報告されているマルウェアの1つに「Emotet」があります。かつて世界中で猛威を振るい、その後いったんは沈静化したEmotetでしたが、2021年から再び活動が活発化していました。しかもかつてのEmotetと比べさらに巧妙な手口を用いているため、既存のアンチウイルスやEPPをすり抜けてしまうケースが増えていました。

そうした場合でもCybereason EDRを導入していれば、たとえEmotetに感染してしまってもその動きをいち早く検知して対処できるようになります。事実これまで、Powershellやregsvr32を悪用した手口やいわゆる「ファイルレス攻撃」など、巧妙な手口を使った最新のEmotetの感染を早期に検知してきた実績があります。さらにこれとあわせてCybereason MDRを利用していれば、たとえ夜間や休日などに感染したとしても即時に検知した上で、弊社のアナリストがその影響範囲や深刻度などを分析・評価し、然るべき対処方法と合わせて報告いたします。

一方、弊社のEPP製品であるCybereason NGAVでも、Emotetを用いた攻撃のかなりの部分を検知・隔離することができます。Cybereason NGAVでは単なるパターンマッチングだけではなく、AIによる静的バイナリ解析や振る舞い検知など複数の手法を用いた多層防御を実現しており、加えて最新版では「亜種実行防止機能」を備えているので、日々新たな亜種が生まれる最新のEmotetも自動的に検知・隔離できるようになっています。

もちろんEmotet以外の脅威についても同様に、Cybereason NGAVとCybereason EDR、さらにCybereason MDRの組み合わせによって極めて強固な対策が可能になります。ぜひそれぞれの役割や機能をしっかり理解した上で、うまく組み合わせてご活用いただければと思います。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド