EDR(Endpoint Detection and Response)とは何か?
EDRとは、エンドポイント検出および応答(Endpoint detection and response)、エンドポイント脅威検出および応答(endpoint threat detection and response)とも呼ばれ、エンドポイントデータのリアルタイムの継続的な監視および収集とルールベースの自動応答および分析機能を組み合わせた統合エンドポイントセキュリティソリューションです。
この用語は、ガートナーのAnton Chuvakin氏によって提案され、ホストとエンドポイントでの疑わしいアクティビティを検出して調査する新しいセキュリティシステムを表し、高度な自動化を採用してセキュリティチームが脅威を迅速に特定して対応できるようにします。
EDRセキュリティシステムの主な機能は次のとおりです。
- 脅威を示す可能性のあるエンドポイントからのアクティビティデータを監視および収集する
- このデータを分析して、脅威のパターンを特定します
- 識別された脅威に自動的に対応してそれらを削除または封じ込め、セキュリティ担当者に通知します
- 特定された脅威を調査し、疑わしい活動を検索するためのフォレンジックおよび分析ツール
EDRソリューションの市場
EDR市場は、今後数年間で大幅に増加すると予測されています。
StratisticsMRCのEndpointDetectionand Response-Global Market Outlook(2017-2026)によると、オンプレミスとクラウドベースの両方のEDRソリューションの売上は、2026年までに72.7億ドルに達し、年間成長率は26%近くになると予想されています。
EDRの採用が増加している要因の1つは、ネットワークに接続されているエンドポイントの数が増加していることです。
もう1つの主要な推進要因は、サイバー攻撃の高度化です。
サイバー攻撃は、ネットワークに侵入するためのより簡単なターゲットとしてエンドポイントに焦点を当てることがよくあります。
EDRセキュリティの主要コンポーネント
EDRセキュリティは、エンドポイントデータの収集、相関、分析、および緊急の脅威に対するアラートと応答の調整のための統合ハブを提供します。
EDRツールには、次の3つの基本コンポーネントがあります。
エンドポイントデータ収集エージェント
ソフトウェアエージェントは、エンドポイントモニタリングを実行し、プロセス、接続、アクティビティの量、データ転送などのデータを中央データベースに収集します。
自動応答
EDRソリューションで事前構成されたルールは、受信データが既知のタイプのセキュリティ違反を示していることを認識し、エンドユーザーのログオフやスタッフへのアラートの送信などの自動応答をトリガーできます。
分析とフォレンジック
エンドポイント検出および応答システムには、事前設定されたルールに完全に適合しない脅威を迅速に診断するためのリアルタイム分析と、脅威をハンティングまたは攻撃の事後分析を実行するためのフォレンジックツールの両方が組み込まれている場合があります。
リアルタイム分析エンジンは、アルゴリズムを使用して大量のデータを評価および相関させ、パターンを検索します。
フォレンジックツールを使用すると、ITセキュリティの専門家は過去の侵害を調査して、エクスプロイトがどのように機能し、どのようにセキュリティに侵入したかをよりよく理解できます。
ITセキュリティの専門家は、フォレンジックツールを使用して、エンドポイントで検出されないまま潜んでいる可能性のあるマルウェアやその他のエクスプロイトなど、システム内の脅威を探します。
新しいEDR機能により、脅威インテリジェンスが向上
新しい機能とサービスにより、脅威を検出して調査するEDRソリューションの機能が拡張されています。
たとえば、Trellix Global Threat Intelligenceなどのサードパーティの脅威インテリジェンスサービスは、エンドポイントセキュリティソリューションの有効性を高めます。
脅威インテリジェンスサービスは、現在の脅威とその特性に関する情報のグローバルプールを組織に提供します。
その集合知は、エクスプロイト、特に多層攻撃やゼロデイ攻撃を識別するEDRの能力を高めるのに役立ちます。
多くのEDRセキュリティベンダーは、エンドポイントセキュリティソリューションの一部として脅威インテリジェンスサブスクリプションを提供しています。
さらに、一部のEDRソリューションの新しい調査機能は、AIと機械学習を活用して、調査プロセスのステップを自動化できます。
これらの新機能は、組織のベースライン動作を学習し、この情報を他のさまざまな脅威インテリジェンスソースとともに使用して、調査結果を解釈できます。
もう1つのタイプの脅威インテリジェンスは、米国政府と協力している非営利の研究グループであるMITREで進行中のAdversarial Tactics、Techniques、そして、 Common Knowledge(ATT&CK)プロジェクトです。
ATT&CKは、何百万もの現実世界のサイバー攻撃の研究に基づいて構築されたナレッジベースおよびフレームワークです。
ATT&CKは、ITシステムへの侵入に使用される戦術、悪用されるシステムの脆弱性の種類、使用されるマルウェアツール、攻撃に関連する犯罪グループなど、さまざまな要因によってサイバー脅威を分類します。
作業の焦点は、エクスプロイトへの小さな変更に関係なく変更されないままのパターンと特性を特定することです。
IPアドレス、レジストリキー、ドメイン番号などの詳細は頻繁に変更される可能性があります。
しかし、攻撃者の方法、つまり「手口」は通常同じままです。
EDRは、これらの一般的な動作を使用して、他の方法で変更された可能性のある脅威を特定できます。
ITセキュリティの専門家は、ますます複雑化するサイバー脅威に直面し、ネットワークにアクセスするエンドポイントの数と種類が多様化するにつれて、エンドポイント検出および応答ソリューションが提供する自動分析と応答からの支援がさらに必要になります。
セキュリティトレーニングは、こちら
セキュリティコンサルティングは、こちら