事後対処(EDR)は重要だが、まだ進化の余地がある

 サイバー攻撃の手口が巧妙化する今日、企業の情報セキュリティ担当者は気が休まることはない。

 攻撃者は企業のセキュリティホールを見つけて攻撃を仕掛けてくる。手口や脅威の種類には“亜種”が次々登場し、もはや過去の経験だけに基づいて防ぎきることは困難になっている。この状況のもとでは、脅威の侵入を阻止することはもちろん、たとえ侵入を防げなかった場合も、速やかに検知・対処できる対策の仕組みが必要になる。この「事後対処」のアプローチはEDR(Endpoint Detection and Response)と呼ばれ、大手を中心に取り入れる動きが加速している。

 しかし、ここで押さえておくべきは、EDRには限界もあるということだ。そもそもEDRは、その名の通りエンドポイントを起点に脅威を検知して対処するもの。そのため、攻撃が別の切り口で行われた場合は、検知が遅れることで被害を拡大させてしまう可能性がある。

 もちろん、エンドポイント以外の対策を組み合わせる方法はあるが、運用が複雑化しがちという問題がある。メール、ネットワーク、クラウドなど、複数レイヤーの対策を追加していった結果、担当者のもとに大量のアラートが届き、対応しきれなくなってしまうのだ。特に、異なるベンダーの製品を組み合わせた場合は、高度なスキルを有するSOC/CSIRTの担当者でも、重要なアラートを抜け・漏れなく捕捉するのは至難の業だという声が聞こえ始めている。

 そこで現在、EDRの「進化形」として注目されているのが、複数レイヤーにまたがる脅威の検知・防御・可視化を実現する「Trend Micro XDR(Cross-Layer Detection and Response)」のアプローチだ。Trend Micro XDRがこれまでのEDRとどう違い、どう効果的なのか。次ページ以降で詳しく見ていこう。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。