標的型攻撃による情報漏洩や、ランサムウエアによる被害――。組織を狙ったセキュリティーインシデントがメディアをにぎわしています。

 組織でセキュリティーインシデントがよく発生する箇所として、社員が使うパソコンなどネットワークの末端にある機器(エンドポイント)があります。スマートフォンやタブレットなどのスマートデバイスを、エンドポイントに含む場合もあります。

 セキュリティーインシデントが発覚した場合、組織はその被害範囲の把握、原因究明、再発防止策の検討に追われます。そして、それは常に時間との闘いです。

(出所:123RF)

 EDR(Endpoint Detection and Response)は、攻撃対象となりやすいエンドポイントで迅速にインシデントに対応するための、比較的新しいソリューションです。今回はEDRの導入によって、組織のセキュリティー運用にどのようなメリットがもたらされるのかを解説します。

従来手法では難しくなったインシデント対応

 近年になってEDRの導入が広がっている背景には、インシデントへの対応時に従来の手法では解決できないいくつもの課題が発生していることがあります。以下、順を追って解説していきます。

1.インシデントへの対応と情報収集の難しさ

 セキュリティーインシデントは、多くの組織にとって、これまで経験したことがない“事件”となります。組織内にCSIRT(Computer Security Incident Response Team:インシデント対応の専門チーム)を用意していたとしても、初めから完璧に対応できるとは限りません。

 一例として、「組織内で利用している端末にマルウエア感染の疑いがある」と外部から通報があった場合を考えてみましょう。この通報が契機となりインシデント対応が始まりますが、その際に担当者は以下の項目を迅速に把握し、対応可能かを検証することになります。

  • その端末の使用者、管理者は誰か
  • 端末は物理的にどこにあって、すぐに隔離/保全ができるか
  • ネットワーク構成から他に影響がありそうなところはどこか
  • 調査に必要なログの保管場所はどこか。それはすぐに抽出できるか

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。