EDR(Endpoint Detection and Response)

EDR(Endpoint Detection and Response)とは

EDR(Endpoint Detection and Response)は、エンドポイント(クライアント端末、サーバなど)において実行されたプロセスのアクティビティを常時記録し、攻撃者による不正な挙動の兆候を検知します。また、攻撃の全体像の可視化や、リモートによるエンドポイントの隔離機能などを提供することで、インシデントの根本原因の効率的な調査と迅速な対応を支援します。

EDRが求められる理由

企業や組織を標的としたサイバー攻撃は日々巧妙化しています。以前までは、不正なプログラムを添付したメールなどを不特定多数に配信し、それを開いたユーザのPCがマルウェアに感染する「ばらまき型」の攻撃手法が主流でした。

一方で、昨今は、メール以外にもネットワーク機器やプロトコルの脆弱性などを突いて組織のネットワークに直接侵入したのちに、端末を制御(遠隔操作)し、感染拡大や機密情報窃取のために内部活動を行う「標的型攻撃」の特徴を取り入れた攻撃が増加しています。

そして、その標的型攻撃における内部活動では、攻撃者はセキュリティ製品からの検知を回避するために、不正なプログラムの使用は最小限にして、侵入した組織のシステムにある正規ツールを悪用します。このように攻撃活動をステルス化する攻撃手法は「Living Off the Land攻撃(環境寄生型攻撃)」と呼ばれています。

ステルス化された攻撃は、従来のセキュリティソフトなどのEPP(Endpoint Protection Platform)による対策だけでは防ぐことが難しいことから、昨今の高度な脅威への対策としてEDRが求められています。

EDRの主な機能

EDRでは主に以下のような機能を提供します。

  • テレメトリの収集と保存
    エンドポイントにおけるメモリやファイルシステム上に展開されたプロセス、ファイルの作成や削除、ネットワークの状況、レジストリの変更などの挙動を示す「テレメトリ」と呼ばれる情報を収集して、データレイクに保存します。
  • 高度な脅威の兆候の検知
    収集したテレメトリに対して、セキュリティベンダーの脅威インテリジェンスやMITRE ATT&CKフレームワークのような攻撃者の特徴を照らし合わせることで、疑わしいイベントを検出して管理者に通知します。
  • プロセスチェーンの可視化
    収集したテレメトリをもとに、不審なプログラムが実行された際のプロセスをチェーン上に表示することで、展開状況を可視化します。エンドポイントにおける脅威の全体像の把握と効率的な根本原因の調査を実現します。
  • リモートによるインシデント対応機能
    調査の結果、インシデントと判断されたイベントに関連するエンドポイントに対して主に以下のような操作をリモートで実行します。
    ・不審なファイルや通信先のブロックリストへの追加
    ・不審なファイルの収集
    ・メモリのダンプ
    ・感染したエンドポイントの隔離
    ・カスタムスクリプトの実行
    ・リモートシェルセッションの実行
  • プレイブックによる自動化
    インシデントの検知から、調査・対応までの処理を迅速化するために、プレイブックを作成することで一連の対応を自動化します。
EDRによるプロセスチェーンの可視化の図

図:EDRによるプロセスチェーンの可視化

EDRとEPPの違い

EDRとEPPはどちらもエンドポイントに実装するセキュリティ対策ですが、提供する機能や導入後の運用が異なります。

EDRとEPPの提供機能の違い

EDRとEPPはそれぞれの技術の名称のとおり、セキュリティ対策の目的が異なります。

EPPが、脅威の侵入を事前に阻止する「防御(Protection)」を目的としていることに対して、EDRは、侵入後の脅威による被害を阻止・軽減する「検知と対応(Detection and Response)」を目的としています。

EPPは、既知の脅威に対して有効なパターンマッチングの他に、亜種や未知の脅威に対して有効な挙動監視や機械学習型検索など“NGAV”(Next Generation Anti-Virus)と呼ばれるようなセキュリティ機能を提供します。

一方で、EDRは前述のとおり、エンドポイントのテレメトリを収集したうえで、攻撃者による攻撃の特徴と照らし合わせて侵入された脅威を検知します。そして、その後の感染拡大を阻止するために調査や対応を支援する機能を提供します。

EDRとEPPの運用の違い

EPPは脅威を事前に防御することを目的とした技術のため、マルウェアなどがエンドポイントに侵入してきた際には、対象の検体のブロックや隔離までEPPが処理を行います。EPPの運用担当者における日々の主なタスクは、脅威をブロックもしくは隔離したことを示すログを確認して、特定のアラートが多発していないかということや、誤検知がないかなどの確認です。

一方で、EDRは侵入された脅威の検知と対応を目的とした技術のため、EDRの運用担当者は、EDRが検知したイベントと可視化した情報をもとにインシデントに該当するか調査を行います。そして、インシデントと判断された場合には、根本原因の追究や感染拡大防止のための対応を行います。そのため、EDRの運用担当者はインシデントの調査にあたって、攻撃手法や脆弱性、実行されたコマンドの理解など、よりセキュリティに関する知見が求められます。

EDRとXDRの関係性

エンドポイントにおける侵入後の脅威の検知と対応を目的とするEDRに対して、XDR(Extended Detection and Response)は対象がエンドポイントに留まらず、メールやネットワークなど複数レイヤを対象としたテレメトリを収集したうえで相関分析を行い、脅威の検知と対応を支援します。つまり、EDRはXDRを構成する一つの要素として包括されている関係となります。

一方で、エンドポイント上のテレメトリは脅威の分析において、もっとも有用な情報を含んでいるため、XDRを構成するうえでEDRは最も重要な技術です。

また、EDRはエンドポイント上の脅威を解析するうえで効果的な技術であるのに対して、XDRは特に組織のネットワークの規模が大きい場合や、被害が広範に渡る場合にその相関分析の効果が発揮されます。

EDRによるプロセスチェーンの可視化の図

図:EDRによるプロセスチェーンの可視化

EDRの選定ポイント

企業や組織においてEDRの導入を検討する際には、EDRが提供する技術的な機能面に加えて、自分たちの組織の体制やリソースを考慮した運用面における適切なEDRを選定することが重要です。EDRソリューションを選定する際の主なポイントは以下の通りです。

攻撃手法と攻撃シナリオの検知力

EDRを選定するうえで、高度な脅威を検知するための検知力が不可欠です。これは、MITRE ATT&CKフレームワークで示されている単体の攻撃手法をただ検知すればいいというわけではなく、攻撃者がよく使う一連の攻撃手法の組み合わせ、つまり「攻撃シナリオ」を検知することが重要です。

攻撃手法の検知だけでは、そのイベント数が多くなる傾向があるため、運用に負担が掛かります。攻撃シナリオを検知するモデルを用意しているEDRでは、実際の攻撃者の挙動に近しい精査されたイベントをアラートとして通知するため、インシデントの発見を効率化します。

グローバルレベルの脅威インテリジェンス

サイバー脅威はグローバル全体で日々複雑化しています。そのため、前述の攻撃手法や攻撃シナリオの検知力を向上するためには、EDRを提供するセキュリティベンダーにおけるグローバルレベルの脅威インテリジェンスが情報源になります。

世界中の脅威リサーチャーによって日々脅威動向を定点観測し、企業が注視すべき情報を提供するセキュリティベンダーの脅威インテリジェンスが搭載されたEDRによって、最新の脅威から組織を保護します。

リスクスコアの定量化

セキュリティ担当者がEDRによって発出されたアラートに対応する際には、どのイベントから対処していくべきかのトリアージ(優先順位をつけて取り組むこと)が必要になります。イベントの深刻度と影響範囲を自動的に加味したリスクスコアによる定量化を提供するEDRによって、優先的に対応すべきイベントの迅速な把握を実現します。

サポートの質

EDRの運用では、攻撃手法や脆弱性、実行されたコマンドの理解など、よりセキュリティに関する知見が求められます。そのため、EDRの操作方法に加えて、脅威に関する知見を備えたサポートを提供するセキュリティベンダーを選択することで、持続可能な運用を実現します。

マネージドサービス(MDR)の範囲

リソースを考慮した結果、自組織でのEDRの運用が難しい場合には、マネージドサービス(MDR)を検討します。マネージドサービス(MDR)の中にはEDR導入後、イベントが発生した際のアラートの通知のみを提供するものもあれば、EDRの導入からインシデント対応、事後対応までサポートするものもあります。

組織がセキュリティに割けるリソースは変化する可能性があるため、将来も見据えて柔軟なマネージドサービス(MDR)を提供するセキュリティベンダーとの連携が重要になります。

まとめ

EDRは導入することで高度な脅威への対策が完了するというわけではなく、導入後の適切な運用が重要です。そのため、自組織で運用を行うのか、もしくはマネージドサービス(MDR)によって運用をアウトソースすべきなのかといった、長期的な視点で導入を検討する必要があります。

また、将来的にはEDRの能力を拡張したXDRといった技術との統合やアタックサーフェスの管理、ゼロトラストといった観点も予め念頭に置いたプラットフォームを選択することで、今後も進化しつづけることが予想される脅威からの保護に繋がります。

ウェビナーによる解説

EDRに関する業界における評価

The Forrester Wave™: Endpoint Detection And Response, Q2 2022においてEDRベンダー評価の「リーダー」に選出

この評価でリーダーとして評価されたのは3社のみであり、トレンドマイクロはそのうちの1社です。今回の評価では、調査機能、ATT&CKアライメント、拡張機能、イノベーションロードマップを含む9つの項目で最高スコアとなる5点満点を獲得しています。

※出典:The Forrester Wave™: Endpoint Detection And Response Providers, Q2 2022

Forrester New Wave™: Extended Detection and Response (XDR) Providers, Q4 2021において「リーダー」に選出

Trend Vision One は、Current Offeringのカテゴリで最高得点を獲得し、10の評価項目のうち7項目で最高スコアを獲得しました。

EDRについての関連情報

サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する

サイバー攻撃のインシデント調査で、攻撃を可視化し、根本原因を分析する役割を果たすEDR・XDR。本記事では、混同される傾向があるEPP、EDR、XDRの役割や違いを改めて解説します。