EDR のセキュリティアラート解析 5 つの重要ポイント

　セキュリティ対策が境界防衛からエンドポイントの監視・管理まで広がるにつれ、セキュリティアラートをどう処理するのかが、日常業務の大きな課題のひとつとなっている。

　ログの目視監視は効率が悪く現実的ではない。監視システムやソリューションを導入し、半自動化することが必須である。ダッシュボードでのチェックやアラート監視に加え、大企業ならSOCを導入した専任スタッフによるシステム運用さえ必要だ。だが、多くの企業にとってセキュリティにそこまで投資できる／しなければならないところは少ない。多くはEDRやクラウドSOCサービスなどのソリューションを利用し、それらシステムからあがってくるアラートをトリガーとして対応の要不要を判断することになる。

　問題は、そのアラートは本当に危険なのか？ 即応が必要なのか？ 無視していいのか？ の判断だ。本稿は InternetWeek 2024 でアラート対応のポイントについて解説したセミナー（石橋拓己氏「セキュリティアラート対応大全」）の取材稿である。セミナー本編はネットワークセキュリティや IAM 関連の認証処理、オペレーターや組織の問題など、非常に広範囲にわたって専門家が解説するものだった。時間も休憩をはさんで 1 時間半以上の密度の高いセミナーだった。当然、残念ながら記事ですべてを解説できる分量ではないため、その中でもアラート処理が容易ではない EDR に関連する内容に絞ってまとめることにする。

　なお Internet Week 2025 の開催は 11 月 18 日 (火) から 11 月 27 日 (木) まで（オンライン開催含）。

● 広めに網をかけざるを得ない EDR ソリューション

　アラートは、設定されたイベントの発生、特定シーケンスの発生、システムのエラーメッセージ、警告メッセージなどによって発せられる。が、ルールベースなら当然、AI でも誤検知は避けられない。というより、偽陽性判定で被害を出してしまうより、広めに網を張っておくのがセオリーであり、疑わしきイベント、攻撃でも発生するイベントやログはアラートの対象とする。通常、陽性判定を間違った状態は、直ちに攻撃実行につながりなんらかの被害が発生している状態といえるからだ。

　アラート発報の閾値を間違えると、大量のアラート処理に翻弄されることになる。業務が増えるだけでなく、大量のアラートに含まれる本当の攻撃や危険信号を見落としてしまう可能性も上がる。閾値の設定は、EDR やサービスによってさまざまであり、自組織に本当に最適な設定は試行錯誤をしながらカスタマイズによって作り込む必要がある。数か月の全ログを監視させ平常状態と異常状態の違いを定量化しておく必要もある。

　組織ごとにシステム要件は異なるので、結果としてこの作業は簡単ではなく、ソリューション側の設定に合わせた運用にならざるをえない。アラートの閾値の議論は簡単ではない。セミナーでは、組織や要件ごとの閾値の議論ではなく、挙がってきたアラートはどんなときに発生するのか、なにが起きるとこのようなアラートにつながるのか、どんな攻撃や危険が考えられるのか等に的を絞った議論が中心となった。

● 検知数や誤検知率を目的化していないか？

　石橋氏のセミナーでは、冒頭に陰性・陽性判定（True Positve / False Positive）に関する興味深い話がなされた。対象とするソフトウェアやイベントがマルウェア・攻撃であるかどうかは、単純に二値判定で単純なようだが、これが簡単ではないことはすでに述べた。