EDRに求められる機能要件
セキュリティインシデント対応を的確かつ効率的に実施するためには、「平常時」「トリアージ・調査」「復旧」「事後対応」の4つのフェーズに応じた機能を活用し、事案の深刻化を防ぐことが重要です。
平常時(日常フェーズ)
セキュリティインシデントであるか否かに関わらず、正規のアプリケーションの動作も含めて端末上の動作をすべて記録するのが理想的です。こうして継続的に集められたログにより端末の挙動を可視化することで、従来型アンチウイルス製品をすり抜けて正規アプリケーションが悪用された場合でも、後追い調査を行うことが可能となります。
なお、ログは端末側で保持せず、第三者に改ざんされない形で集中管理を行う必要があります。その意味ではログをクラウドに集約するとともに、最新の脅威情報を用いて分析できる基盤が用意されていることが望ましい姿となります。
トリアージ・調査フェーズ
インシデント対応におけるトリアージ・調査フェーズで求められるのは、その時点で端末が管理サーバに接続されていなくても、インシデント発生前後のログを多角的な観点から確認・調査が進められる機能です。単に情報量が豊富であればよいわけではなく、素早く検索ができ的確なログを確認できれば影響範囲の特定・発生経緯の調査が円滑に可能となります。
復旧フェーズ
復旧フェーズでは、端末の回収をせずとも遠隔からの復旧作業を支援する機能が求められます。これによりインシデント対応時間の短縮を図ることができます。
事後対応フェーズ
事後対応のフェーズは平常時フェーズに戻るための経過観察のプロセスも兼ねており、検出・対応済みのインシデントが別の端末で再発していないことを確認する機能が求められます。セキュリティポリシーの見直しや強化に向けた判断材料を提供することがEDRの本質となります。
インシデント対応の重要ポイント
1. 平常時
- セキュリティインシデントであるかに関わらず、端末上の動作を記録し可視化が可能
- 記録されたログは改ざんされないよう集中管理されている ※クラウドに集約され、膨大なログを分析できる基盤があることが望ましい
2. インシデント対応時
- 端末の接続状況に関わらず、事案発生前後のログを様々な観点で確認可能
- 影響範囲の特定・発生経緯の調査が可能
3. インシデント対応時(復旧)
- 遠隔より、端末の一時隔離やマルウェアの削除が可能
- リモート操作機能による端末の復旧支援が可能
4. 事後対応
- 同事象が発生した際に検知可能
- セキュリティポリシーの見直し・強化の判断材料を提供する
SaaS型でEDRを提供する「VMware Carbon Black Cloud」
ここまで説明してきたようにEDRは端末の可視化を実現し、セキュリティインシデント対応を支援するツールであり、EDR を導入することでビジネス現場と経営層の双方にメリットをもたらします。
そしてヴイエムウェアはCarbon Black社の買収を機に、「VMware Carbon Black Cloud」というEDRソリューションの提供を開始しました。EPPを包含したEDRの機能をSaaS型で利用できるもので、端末にエージェントをインストールするだけで、エンドポイントセキュリティ対策で求められる機能を簡単にご利用いただけます。もちろんWindows、macOS、Linuxといった主要なOSに対応しています。
本記事について詳しくは、次の資料をダウンロードもご覧ください。
今、改めて知るEndpoint Detection & Response
EDR(Endpoint Detection & Response) の必要性を再確認
本記事でご紹介した EDR(Endpoint Detection & Response)の基礎やヴイエムウェアが SaaS として提供する EDR ソリューション「VMware Carbon Black Cloud」について紹介しています。