ブログ
情報システム部小島くんのセキュリティ奮闘記(第3回:導入検討)
最近のセキュリティ動向を踏まえたEDR製品を選定する際のポイント
~最近のセキュリティ関連トピックスについて~
本章では、EDR製品を検討するにあたり、どのような点をポイントにすべきかについて説明いたします。
その前に、最近話題になっているセキュリティ関連のトピックスについて記載させて頂きます。
- 1)
EMOTETについて
国内においてマルウェア「EMOTET(エモテット)」の感染拡大が報告され、EMOTETに感染した端末から情報が搾取され、搾取された情報を悪用し、取引先などに不審メールが送られている状況が確認されています。対応策としては、OS・アプリケーションのセキュリティアップデートの徹底と、Wordマクロの自動実行の無効化などが推奨されています。詳細は以下のサイトなどをご覧頂ければと思います。
- 2)
大手総合電機メーカに対する大規模サイバー攻撃について
大手総合電機メーカが大規模なサイバー攻撃を受け、従業員や退職者などの個人情報8,122人分が流出した恐れがある事が記事にされていました。同社は不正アクセスの手口などから、防衛関連の機密情報を主に狙う中国系のサイバー攻撃集団「Tick(ティック)」が関与した可能性があるとみられています。
不正アクセスは中国にある関係会社から始まり、日本国内の拠点に広がり、乗っ取ったアカウントを使って社内ネットワークに侵入し、機密情報に触れる権限が広い中間管理職層のパソコンをターゲットに不正アクセスが続きました。情報は送信用の端末に集約され、数回に分けて送信されたとみており、外部に流出した可能性が高いとのことです。
第1回のコラムで記載しておりますが、セキュリティが脆弱な関係会社を踏み台にしたサイバー攻撃となります。
上記トピックスを踏まえて留意して頂きたいのが、以下の点になります。
- 1) EMOTETの感染を足掛かりにしてより高度かつ悪質な攻撃につながる可能性がある事
- 2)サプライチェーンの弱点を悪用した攻撃が高まっている。自社のみ防御力を高めてもサイバー攻撃は止められない事
~EDR製品の選定ポイントとは?~
ここで上記のような攻撃に対して侵入後の可視化ができるEDR製品を選定する際のポイントについて当社導入事例および当社の提案により導入頂いたお客様の事例を踏まえて説明いたします。
お客様の環境や目的、セキュリティ運用者の人数などにより優先すべきポイントは異なるかと思いますので、あくまでご参考という形でご理解頂ければと思います。
- 1)
提供形態
提供形態は大きくオンプレ型とクラウド型の2つがあります。企業内のセキュリティポリシーにそってオンプレ型を導入している企業もございますが、コスト面と導入スピードの面からクラウド型が主流になってきています。
クラウド型での契約は、エンドポイント端末の台数(ライセンス数)に応じた価格設定が一般的で、1年間など期間ごとの契約更新が必要なサブスクリプション契約が多くなっています。(検知サーバ、分析サーバなどの費用はライセンスに組み込まれている)また、ライセンス数が増えると割引料金が適用されるボリュームディスカウントが採用されている製品も見られますので、グループ会社への採用も踏まえて検討されるケースが増えています。 - 2)
機能
モニタリング機能、解析・調査機能、検知・防御機能、修復機能が比較の対象としてあげられます。各社の技術とノウハウにて各社機能差はありますが、各社の開発競争激化により機能差は小さくなってきているのが現状です。
差別化ポイントとしては防御機能の範囲があります。エンドポイントの挙動監視と解析・調査に特化した製品や、アンチウイルスやネットワークセンサー、ファイアウォールなどの防御系機能と一体化したエンドポイント向けセキュリティ・プラットフォームのような製品がありますので自社に導入済みのセキュリティ製品との組合せや更改タイミングなどを考慮にいれて選択することをオススメします。
尚当社では、未知のランサムウェア・マルウェアを検知・防御する機能が備わっている事と、遠隔地の端末をリモートで、一度に複数端末の対処(隔離)ができる事などを、EDRを選定するうえでの機能上のポイントにしました。 - 3)
対象範囲
可視化が必要となるエンドポイントはクライアントだけでなくサーバも対象となります。それを踏まえるとサーバにもEDRを導入する事が最善です。サーバへの導入はクライアントへの導入以上に慎重を期す必要があるため、選定の際のポイントとして既存環境への負荷や使用中のアプリケーションとの干渉が少ない製品を選定すべきと考えます。また対応OSについても各製品においてサポート状況が異なりますので、ご注意頂ければと思います。 検討される中では、必ず導入予定のソリューションを利用した検証をして、既存環境への影響を確認して頂く事をお勧めいたします。これは上記で述べましたが、既存環境への負荷や干渉の確認と実際の製品インターフェース(日本語対応など)などを確認することが重要なためです。 尚当社では、既存環境への影響が少ないユーザモードで動作することをポイントにEDRを選定しております。 - 4)
運用・サポート体制
EDRは社内システムに重大な影響を与える感染や侵入などのサイバーインシデントをエンドポイント端末で検知することが目的であり、実際に検知した後の対応や判断のプロセス、それを実行する体制を確立しておくことが必要です。しかし企業内で充分なセキュリティ人材を確保できている企業は少ないのが現状です。
このような状況を踏まえて、検知したインシデントに対するトリアージ(優先順位付け)や解析、対策案の立案などを提供しているベンダーもあります。
当社においても既存のセキュリティ要員で対応するため、サポートが充実しているEDR製品を導入しました。製品を導入しても使いこなせないと投資対効果が小さくなってしまうので、運用をイメージすることは重要な選定ポイントかと思います。以下ご参考までに運用・サポート体制に関するチェックポイントを列挙します。
- 製品管理ツール(ダッシュボード)の見易さ(視覚的に感染日や感染台数などが把握できる事)
- 日本語対応
- レポート内容の充実性
- アラートに対するサポート体制
- 保守(導入後のバージョンアップなど)の容易性
いかがでしたでしょうか。EDRの比較ポイントについてご紹介しましたが、冒頭に記載した通り、各企業にて選定するポイントは異なるかと思います。
EDR選びで迷った際には、当社での導入背景など踏まえてご支援できるかと思いますので是非、お問合せ頂ければと思います。
お問合せ先:cybereason-sales@scsk.jp
次回は、当社にて実施した導入展開について、説明したいと思います。