[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.20(土)

[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

研修・セミナー・カンファレンス セミナー・イベント
米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏
米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏 全 1 枚 拡大写真
EDR (Endpoint Detection and Response)分野でガートナー社のクールベンダーに選定された米タニウム社が2015年秋、日本市場での本格展開を開始、日産自動車が同社製品の採用を決定し、話題となったことは記憶に新しい。

日本ではまだ始まったばかりのEDRだが、既存のアンチウイルス製品との違いや、今後の可能性について、米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏にRSA Conference 2016 USA が開催されたサンフランシスコで話を聞く機会を得た。

Kazanciyan 氏は、PwCを経て、マンディアント社で6年間インシデントレスポンスを経験した後、現在はタニウム社でチーフセキュリティアーキテクトを勤めている。


●侵害を前提としたエンドポイント対策

──タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。

マルウェアの検出とブロックをエンドポイントで行う従来のアンチウイルス製品は、20年ほど前からありました。それらによる防御を突破されて侵害を受けた場合、何が起きたのかを突き止めるための調査を行うことになりますが、マルウェアの検知とブロックの自動化に特化しているアンチウイルス製品は、それができるように設計されていませんでした。

マルウェアによる侵害、もしくは内部犯行を許した場合、10~15年前であればフォレンジックを行っていました。しかしシステムが肥大化し、侵害の発生頻度が高くなったここ10年ほどで、メモリやハードディスクのビットコピーを解析するという伝統的なフォレンジック手法がスケールしないことが問題視されるようになりました。

そして現在、膨大な端末を管理する企業が、影響範囲の特定さえできない状況で、1台の解析に40時間を要することさえある従来の方法で調査を行うことは、まったく現実的でなくなりました。システムの規模に関わらず、アンチウイルスを潜り抜けた脅威の検知、およびそれに関わる調査と対応とを最小限のリソースで迅速に実施したい、というニーズの顕在化を受け、EDRは誕生したのです。

●セキュリティチームとITチームの協働

── Endpoint Detection and Response(EDR) の Response、つまり検知した脅威への「対応」の部分についてもう少し教えて下さい。

一口に「対応」といってもマルウェアの駆除、被疑端末のネットワーク的な隔離、盗まれた認証情報の再設定など、様々な作業が含まれます。それらをタニウムは第一層の「限定的な」レスポンスと呼んでいます。

しかし、タニウムが重視しているのは、第二層となる「サイバーハイジーン(Cyber hygiene:サイバー環境の衛生と健康の意)」と呼ばれるレスポンスです。その目的は、発見した問題を単純に修繕することではなく、侵害を許す根本原因となったセキュリティ上の弱点を解消することにあります。これはセキュリティチームではなく、ITオペレーションチームの仕事になるでしょう。

これまで私が実際に見てきた組織の多くでは、マルウェアをハントするチームと、設定管理やパッチ適用を行うITオペレーションのチームとは完全に別々でした。しかし、両者が協力すれば、さらに高い力を発揮できるはずなのです。ハンティングチームが検知した侵害から得た教訓のフィードバックを受けられれば、IT オペレーションチームはネットワークのセキュリティレベルの向上を実現できるでしょう。しかし、場当たり的な対応では何も変わらないのです。

●事前対策を担う「ハンティングチーム」

──EDR同様、「ハンティング」も日本では馴染みがない言葉です。従来のセキュリティ部門の業務とは何が異なるのですか。

現在でも多くのセキュリティチームが「事後対応(Reactive)」を充実させようとしています。しかし、さらなる進化を遂げるには「事前対策(Proactive)」が必要になります。

「ハンティング」の具体的な行動とは、守るべきシステムのデータを継続的に監視し、未知の脅威や不自然な挙動など「普通ではない何か」を探し求めることです。何を発見するのかわからないままシステムを探索することが狩りに似ていることから、タニウムはこれを「ハンティング」と呼んでいます。

理想的なEDR製品は、事前対策と事後対応の両方をサポートする必要があると考えています。技術的にも事前対策には大きな技術革新の余地が残されており、様々なセキュリティベンダがその改善に取り組んでいます。

攻撃手法や攻撃者が進化するスピードはあまりに早く、事後対応だけではその速度に追従することはできません。この現状を受けて、システムの規模に関わらず、迅速にデータの収集と解析とを行い、異常をいち早く検知するEDRが重要視されるようになったのです。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  2. 「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

    「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

  3. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  4. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

  5. イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

    イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

  6. 華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

    華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

  7. より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

    より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

  8. 複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

    複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

  9. クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

    クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

  10. 経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

    経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

ランキングをもっと見る