セキュリティインシデントの被害を最小限に抑える
EDR(Endpoint Detection & Response)とは、端末からの情報収集および検知や検索を自動化し、インシデントの深刻化を防ぐためのツールです。
セキュリティインシデントの調査時間を短縮し、調査内容を向上
たとえば社外の取引先などから「御社のネットワークから弊社宛に不審な通信が発生しています」といった連絡を受けた場合、不審な通信を行なっている端末を特定する必要があります。そこでファイアウォールやProxyなどのネットワークログを中心に、さまざまな調査を行います。
ところがその調査を進める過程で、端末のログが圧倒的に足りないことを痛感します。ネットワークログの解析を進めても、結局どの端末上で、どのプロセスが、いつ何を行ったか、いつから存在しているのか、他の端末でも実行されたのか、といった疑問には答えられないからです。周辺のログから外堀を埋めるように調査する以外に方法がなく、インシデントの全体像をつかむのは困難です。
そこにEDR が加わると端末上のログを中心に、より有機的な調査が可能となり、結果として調査時間を短縮するとともに調査内容そのものも向上します。
これにより現場でインシデント対応を行う管理者は、詳細な調査を進めやすくなります。加えて企業経営におけるリスク管理の観点からも、「インシデントの被害状況を迅速に外部へ公表できる」「正確な内容で説明責任を果たすことができる」「損害額を最小限に留めることができる」といったメリットが生まれてきます。
また、現在の端末は社内システムにアクセスするだけでなく、クラウド上のさまざまなサービスやアプリケーションを直接利用する場面も拡大しています。すなわちエンドポイントがセキュリティの境界となったことをしっかり認識した上での対策が重要です。EDRを活用することで個々の端末に対して行われている情報収集や攻撃の検知、検索を自動化し、インシデントの深刻化を最小限に防ぐことが可能となります。
