[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く
タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。
研修・セミナー・カンファレンス
セミナー・イベント
PR
日本ではまだ始まったばかりのEDRだが、既存のアンチウイルス製品との違いや、今後の可能性について、米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏にRSA Conference 2016 USA が開催されたサンフランシスコで話を聞く機会を得た。
Kazanciyan 氏は、PwCを経て、マンディアント社で6年間インシデントレスポンスを経験した後、現在はタニウム社でチーフセキュリティアーキテクトを勤めている。
●侵害を前提としたエンドポイント対策
──タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。
マルウェアの検出とブロックをエンドポイントで行う従来のアンチウイルス製品は、20年ほど前からありました。それらによる防御を突破されて侵害を受けた場合、何が起きたのかを突き止めるための調査を行うことになりますが、マルウェアの検知とブロックの自動化に特化しているアンチウイルス製品は、それができるように設計されていませんでした。
マルウェアによる侵害、もしくは内部犯行を許した場合、10~15年前であればフォレンジックを行っていました。しかしシステムが肥大化し、侵害の発生頻度が高くなったここ10年ほどで、メモリやハードディスクのビットコピーを解析するという伝統的なフォレンジック手法がスケールしないことが問題視されるようになりました。
そして現在、膨大な端末を管理する企業が、影響範囲の特定さえできない状況で、1台の解析に40時間を要することさえある従来の方法で調査を行うことは、まったく現実的でなくなりました。システムの規模に関わらず、アンチウイルスを潜り抜けた脅威の検知、およびそれに関わる調査と対応とを最小限のリソースで迅速に実施したい、というニーズの顕在化を受け、EDRは誕生したのです。
●セキュリティチームとITチームの協働
── Endpoint Detection and Response(EDR) の Response、つまり検知した脅威への「対応」の部分についてもう少し教えて下さい。
一口に「対応」といってもマルウェアの駆除、被疑端末のネットワーク的な隔離、盗まれた認証情報の再設定など、様々な作業が含まれます。それらをタニウムは第一層の「限定的な」レスポンスと呼んでいます。
しかし、タニウムが重視しているのは、第二層となる「サイバーハイジーン(Cyber hygiene:サイバー環境の衛生と健康の意)」と呼ばれるレスポンスです。その目的は、発見した問題を単純に修繕することではなく、侵害を許す根本原因となったセキュリティ上の弱点を解消することにあります。これはセキュリティチームではなく、ITオペレーションチームの仕事になるでしょう。
これまで私が実際に見てきた組織の多くでは、マルウェアをハントするチームと、設定管理やパッチ適用を行うITオペレーションのチームとは完全に別々でした。しかし、両者が協力すれば、さらに高い力を発揮できるはずなのです。ハンティングチームが検知した侵害から得た教訓のフィードバックを受けられれば、IT オペレーションチームはネットワークのセキュリティレベルの向上を実現できるでしょう。しかし、場当たり的な対応では何も変わらないのです。
●事前対策を担う「ハンティングチーム」
──EDR同様、「ハンティング」も日本では馴染みがない言葉です。従来のセキュリティ部門の業務とは何が異なるのですか。
現在でも多くのセキュリティチームが「事後対応(Reactive)」を充実させようとしています。しかし、さらなる進化を遂げるには「事前対策(Proactive)」が必要になります。
「ハンティング」の具体的な行動とは、守るべきシステムのデータを継続的に監視し、未知の脅威や不自然な挙動など「普通ではない何か」を探し求めることです。何を発見するのかわからないままシステムを探索することが狩りに似ていることから、タニウムはこれを「ハンティング」と呼んでいます。
理想的なEDR製品は、事前対策と事後対応の両方をサポートする必要があると考えています。技術的にも事前対策には大きな技術革新の余地が残されており、様々なセキュリティベンダがその改善に取り組んでいます。
攻撃手法や攻撃者が進化するスピードはあまりに早く、事後対応だけではその速度に追従することはできません。この現状を受けて、システムの規模に関わらず、迅速にデータの収集と解析とを行い、異常をいち早く検知するEDRが重要視されるようになったのです。
《ScanNetSecurity》
関連記事
-
【RSA Conference USA 2016】 「脅威情報の共有」と「人材不足の打開」の秘訣を説く~RSA キーノート
研修・セミナー・カンファレンス -
【RSA Conference USA 2016】クリエイティブなセキュリティ人材を育てる組織文化~RSA キーノート
研修・セミナー・カンファレンス -
![[RSA Conference 2016 USA] スキルとコスト低下で増加するDDoS攻撃、最新傾向「おとりDDoS攻撃」とは(NSFOCUS) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/19538.jpg)
[RSA Conference 2016 USA] スキルとコスト低下で増加するDDoS攻撃、最新傾向「おとりDDoS攻撃」とは(NSFOCUS)
研修・セミナー・カンファレンス -
![[RSA Conference 2016 USA] 制御システムを守る7つの戦略(Kaspersky Lab) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/19530.jpg)
[RSA Conference 2016 USA] 制御システムを守る7つの戦略(Kaspersky Lab)
研修・セミナー・カンファレンス
この記事の写真
/
関連リンク
特集
アクセスランキング
-
富士通 FENICS のネットワーク機器での不正通信、東京海上日動火災保険のメールデータが流出した可能性
-
浄化槽システム開発委託先でノートPC紛失「高度なセキュリティで漏えいリスクはない」と公表遅れる
-
Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険
-
富士通 FENICS のネットワーク機器での不正通信、岩崎通信機グループのメールデータが流出した可能性
-
サイバー攻撃の動機 セキュリティ企業に恥をかかせる
-
メールアドレス手入力ミス 統一地方選挙立候補予定者の個人情報誤送信、送信先音信不通
-
富士通 FENICS のネットワーク機器での不正通信、京セラのメールデータの一部が外部流出した可能性
-
金沢大学同窓会員8,910件記録したUSBメモリ紛失するも暗号化済み
-
Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認
-
“判明した時点で第一報的公表を検討することが望ましい” ~「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表