- 2019/12/10
- EDR
EDRの先にある次世代のセキュリティ
Post by : Sam Curry
サイバーセキュリティの戦いでは、攻める側と守る側では置かれている状況が同じではありません。20年以上にわたって攻撃側が有利な状況が続いており、攻撃者は攻撃を仕掛ける時と場所を選ぶことができます。そしていったん時と場所を決めたら、持てる力のすべてを投入することができるのです。どのような場合でも、戦う時と戦う場所を選択できるほうが断然に有利です。
さらに守る側にとって悪いことに、攻撃する側は、一度失敗を犯したところでたいした影響を受けません。攻撃側は何度攻撃に失敗してもよいのです。通常のセキュリティツールに打ち勝つにはたった一度だけ侵入に成功すればよいのですから。一方、守る側は一度の失敗も許されません。一回でもミスを犯せば、マルウェアの感染が始まり、何の兆候も把握できないままマルウェアの拡散を許してしまいます。
しかし、検知を念頭においた対応が浸透し、EDR(エンドポイントにおける検知および対応)のソリューションが登場したおかげで、また、小規模ながら、ネットワークにおける異常な振舞いの検知などの新たなテクノロジーも利用できるようになって、必ずしも守る側が不利だとは言えなくなってきました。
インフラストラクチャが侵害を受けたことを想定して行動すれば、ハッカーの足跡を探し出し、環境の奥深くまで侵入した敵を捕らえることができます。あるいは、情報や業務が影響を受ける前に、キルチェーンの早期段階で対処を行うことも可能です。結局のところ、侵害はどれも同じかたちで起こるとは限りません。そしてどのように十分なセキュリティ対策を施したIT環境であってもインフラストラクチャの侵害を避けることはできません。しかしその点にこだわる必要はないのです。
EDRは振舞いデータの監視を得意とします。そして振舞いデータが最も重要な意味を持つ場所がエンドポイントです。エンドポイントはハッカーが実際の活動をする場所です。ハッカーの標的であり、避難場所です。そこでは、ハッカーはIDを悪用したり、アプリケーションを無断で使用したりします。そしてその活動において、ほとんどのエンドポイントを次々と渡り歩くのです。単刀直入に言えば、エンドポイントとは、いつでも戦場になる場所です。
ただし、エンドポイントだけがIT環境において重視すべき部分、重視すべき対象になるわけではありません。ITは、数多くのオブジェクト、すなわち「名詞」を効率よくつなげてビジネス上の目的を達成するために存在します。これらのあいだのコネクションや相互のやり取りが増えればそれだけ、ビジネスに望ましい結果がもたらされます。
エンドポイントばかりでなく、ユーザーやアプリケーション、データ、インフラストラクチャ、自律型オブジェクトについても同じことが言えます。そして従来のワークステーションやサーバーに加え、モバイルデバイスもエンドポイントになります。もちろん、仮想化されたものやコンテナ化されたものも含まれるので、エンドポイントの範囲はずっと複雑になります。
ただし、我々は、インフラストラクチャにも目を向けます。インフラストラクチャには、ネットワークやクラウド、データセンター、ハードウェアなどが含まれます。さらには、デバイス上のアプリケーションと独立しているアプリケーションの両方にも気を配ります。そして最終的に重要になるのは、データの処理をしているユーザーです。
実際のところ我々は、これら6つのオブジェクトクラス、すなわち名詞を図表上のノードとしてイメージすることができます。そしてノード内のエッジはどれも振舞いを意味します。
今や組織はさまざまな目標の組み合わせを変更し、LANやWANに縛られた従来のITの制約を逃れ、OTやIoTとともに自律型のオブジェクトを新たに導入し、企業を囲っていた20世紀の壁を完全に置き去りにしています。このような状況におけるセキュリティ上のゴールは、より効率的に防御を行うことですが、最も重要になるのは、将来のクラウドIT環境に対応できるよう、振舞いの監視を通じた検知志向のセキュリティへと移行することにほかなりません。
EDRの「E」は通常、「Endpoint(エンドポイント)」を表しますが、サイバーリーズンではこの「E」の意味を「Enterprise(エンタープライズ)」にまで拡張しています。ただし、最終的には「検知」と「対応」の機能は組織の内部と外部に実装して実行する必要があります。
EDRの究極の進化形は「E」が「Everything(すべて)」を表す形態であり、防御を回避された瞬間に極力近いタイミングで侵入を検知できるよう能力を高めたEDRです。もしも検知に要する時間をゼロないしはマイナスにまでできれば、完全な予測性が実現し、防御の在り方を絶えず変更できるようになります。ただし、これは現時点では大部分がSFの世界です。
一方、次世代のセキュリティで重要になるのはツールだけではありません。次世代のセキュリティとは、人間の作業効率を特にAIや自動化を通じて高めることでもあり、それはプロセスの効率化を意味します。もちろん、リスクが大きく軽減されれば、防御や検知の質が高まるだけでなく、相手が攻撃に成功してもその影響を軽減でき、復旧に要する時間を最小限に抑えられるようになります。
要するに次世代のEDRでは、「E」は「Everything(すべて)」を表し、トレーニングの充実、効率や脅威の影響緩和の能力の向上、復旧の迅速化を実現します。サイバーセキュリティの戦いにおいて攻撃者優位の状況を完全に逆転するために、そして戦いに勝利できる組織へとIT部門が変化を遂げるうえで、このEDRが不可欠となるのです。
ホワイトペーパー「SIEMとEDRが担うべき正しい役割」
このホワイトペーパーは、SIEMおよびEDRの両テクノロジーの相互補完的な利用に関する論理的根拠を確立することを目的としており、SIEM、EDR、およびSOARのカテゴリーのいずれかに属しているユースケースを紹介するほか、それらすべてのカテゴリー間における統合やコラボレーションについても説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3436/
