[RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く
タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。
研修・セミナー・カンファレンス
セミナー・イベント
PR
日本ではまだ始まったばかりのEDRだが、既存のアンチウイルス製品との違いや、今後の可能性について、米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏にRSA Conference 2016 USA が開催されたサンフランシスコで話を聞く機会を得た。
Kazanciyan 氏は、PwCを経て、マンディアント社で6年間インシデントレスポンスを経験した後、現在はタニウム社でチーフセキュリティアーキテクトを勤めている。
●侵害を前提としたエンドポイント対策
──タニウムが注力している EDR(Endpoint Detection and Response)は、まだ日本ではあまりなじみのないジャンルです。まず、従来のエンドポイントセキュリティと EDR との違いを教えて下さい。
マルウェアの検出とブロックをエンドポイントで行う従来のアンチウイルス製品は、20年ほど前からありました。それらによる防御を突破されて侵害を受けた場合、何が起きたのかを突き止めるための調査を行うことになりますが、マルウェアの検知とブロックの自動化に特化しているアンチウイルス製品は、それができるように設計されていませんでした。
マルウェアによる侵害、もしくは内部犯行を許した場合、10~15年前であればフォレンジックを行っていました。しかしシステムが肥大化し、侵害の発生頻度が高くなったここ10年ほどで、メモリやハードディスクのビットコピーを解析するという伝統的なフォレンジック手法がスケールしないことが問題視されるようになりました。
そして現在、膨大な端末を管理する企業が、影響範囲の特定さえできない状況で、1台の解析に40時間を要することさえある従来の方法で調査を行うことは、まったく現実的でなくなりました。システムの規模に関わらず、アンチウイルスを潜り抜けた脅威の検知、およびそれに関わる調査と対応とを最小限のリソースで迅速に実施したい、というニーズの顕在化を受け、EDRは誕生したのです。
●セキュリティチームとITチームの協働
── Endpoint Detection and Response(EDR) の Response、つまり検知した脅威への「対応」の部分についてもう少し教えて下さい。
一口に「対応」といってもマルウェアの駆除、被疑端末のネットワーク的な隔離、盗まれた認証情報の再設定など、様々な作業が含まれます。それらをタニウムは第一層の「限定的な」レスポンスと呼んでいます。
しかし、タニウムが重視しているのは、第二層となる「サイバーハイジーン(Cyber hygiene:サイバー環境の衛生と健康の意)」と呼ばれるレスポンスです。その目的は、発見した問題を単純に修繕することではなく、侵害を許す根本原因となったセキュリティ上の弱点を解消することにあります。これはセキュリティチームではなく、ITオペレーションチームの仕事になるでしょう。
これまで私が実際に見てきた組織の多くでは、マルウェアをハントするチームと、設定管理やパッチ適用を行うITオペレーションのチームとは完全に別々でした。しかし、両者が協力すれば、さらに高い力を発揮できるはずなのです。ハンティングチームが検知した侵害から得た教訓のフィードバックを受けられれば、IT オペレーションチームはネットワークのセキュリティレベルの向上を実現できるでしょう。しかし、場当たり的な対応では何も変わらないのです。
●事前対策を担う「ハンティングチーム」
──EDR同様、「ハンティング」も日本では馴染みがない言葉です。従来のセキュリティ部門の業務とは何が異なるのですか。
現在でも多くのセキュリティチームが「事後対応(Reactive)」を充実させようとしています。しかし、さらなる進化を遂げるには「事前対策(Proactive)」が必要になります。
「ハンティング」の具体的な行動とは、守るべきシステムのデータを継続的に監視し、未知の脅威や不自然な挙動など「普通ではない何か」を探し求めることです。何を発見するのかわからないままシステムを探索することが狩りに似ていることから、タニウムはこれを「ハンティング」と呼んでいます。
理想的なEDR製品は、事前対策と事後対応の両方をサポートする必要があると考えています。技術的にも事前対策には大きな技術革新の余地が残されており、様々なセキュリティベンダがその改善に取り組んでいます。
攻撃手法や攻撃者が進化するスピードはあまりに早く、事後対応だけではその速度に追従することはできません。この現状を受けて、システムの規模に関わらず、迅速にデータの収集と解析とを行い、異常をいち早く検知するEDRが重要視されるようになったのです。
《ScanNetSecurity》
関連記事
-
【RSA Conference USA 2016】 「脅威情報の共有」と「人材不足の打開」の秘訣を説く~RSA キーノート
研修・セミナー・カンファレンス -
【RSA Conference USA 2016】クリエイティブなセキュリティ人材を育てる組織文化~RSA キーノート
研修・セミナー・カンファレンス -
![[RSA Conference 2016 USA] スキルとコスト低下で増加するDDoS攻撃、最新傾向「おとりDDoS攻撃」とは(NSFOCUS) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/19538.jpg)
[RSA Conference 2016 USA] スキルとコスト低下で増加するDDoS攻撃、最新傾向「おとりDDoS攻撃」とは(NSFOCUS)
研修・セミナー・カンファレンス -
![[RSA Conference 2016 USA] 制御システムを守る7つの戦略(Kaspersky Lab) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/19530.jpg)
[RSA Conference 2016 USA] 制御システムを守る7つの戦略(Kaspersky Lab)
研修・セミナー・カンファレンス
この記事の写真
/
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
-
RoamWiFi R10 に複数の脆弱性
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供