運用して分かるEDR効果の限界とXDRが出現している理由

今回は「運用して分かるEDR効果の限界とXDRが出現している理由」についてご紹介します。

関連ワード (CIO/経営、ビジネス視点で分かるサイバーのリスクとセキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 Endpoint Detection and Response(EDR:エンドポイント型脅威検知および対応)を導入したものの、運用面での課題が表面化して乗り換えを検討しているケースが頻発している。今回は、導入前に期待していた効果が得られていないなどのEDR活用を取り巻くさまざまな課題を踏まえて、さらなるセキュリティ強化に向けたデータやアナリティクスの有効活用について考えてみたい。

 コロナ禍では、テレワーク環境のセキュリティ確保やバズワード化した「ゼロトラスト」の実装として、幾つかのセキュリティツールの導入が加速した。そのうちの一つがEDRだ。もともとは端末上でのサイバー攻撃などの事象を追跡調査するフォレンジック支援ツールとして登場したが、その名の通りエンドポイントに特化して不審な挙動の検出から対応までを可能にするセキュリティツールだ。

 当初は、Endpoint Protection Platform(EPP)の中でも、特にレガシーな製品が昨今の脅威を検出できない事実に直面したことが導入の大きな契機になっていた。それがコロナ禍の急速なテレワーク移行の必要性によって、オフィス外での業務端末のセキュリティを強化したいというニーズのもと、取り組みが加速することになった。2021年にパロアルトネットワークスが実施したゼロトラストに関する調査でも、国内でEDRを導入している企業は43%に上ることが分かった。

 EDRの利用形態は、運用できる人材がいれば社内運用、そうでなければマネージドサービス事業者(MSP)やEDRベンダーが提供するManaged Detection and Response(MDR)への委託の大きく2パターンが考えられる。セキュリティ人材の不足が特に深刻な国内では、後者を選択するケースが多い傾向にあるが、導入が進むにつれて、特に運用面と実効性の面でさまざまな課題を持つ企業が増えている。

 そもそも端末用のエージェントの入れ替えは、端末台数が多くなるほどシステム管理者の負担が大きくなることから敬遠されがちだ。そこでEPPとEDRを同居させる形でセキュリティを強化できるといった提案が多く行われているが、セキュリティの実効性を上げる可能性はある一方で、ポリシーだけでなく更新やアラートの管理まで別々の管理ツールを使わなければならない負担が発生する。

 自社で運用し切れないケースでは、MDRという形で監視サービスを提供する事業者に委託することになるが、既存のEPPに加えて外部委託するものが増加してコストの増加につながるだけでなく、EPPやEDRの運用・保守を別々のサービス事業者に任せていることで、いずれかのツールからアラートが上がった際の判断や対応に混乱が生じるケースもある。

 中には、コロナ禍で「ゼロトラストに必要な構成要素だから」という曖昧な目的や理由で導入したものの、その機能を最大限に活用できていないケースもよく見られる。導入したはいいが、運用し切れずに困っているという声が多いセキュリティツールの一つがEDRだ。

 エンドポイントは正規のユーザーだけでなく悪意ある者にとっても活動の起点になるため、セキュリティ強化の必要性に議論の余地はないだろう。ただ複数のエージェントを導入して別々に管理したり、複数のマネージドサービスに運用を委託したりすることで運用負荷やコストを二重にするのではなく、防御から対応までの機能が集約された1つのエージェントに統合する方がメリットは多い。AI/機械学習ベースの検出技術から脆弱(ぜいじゃく)性への保護、デバイスコントロールまで網羅され、かつ機能性の高いものがベストだ。実効性の面では、大企業を中心に活用される場面が増えている「MITRE ATT&CK」(サイバー攻撃の戦術と手法を体系化したもの)での製品性能評価を見ることで評価できる。

 以前から「アラート疲れ(Alert fatigue)」と言った言葉が日本語だけでなく英語にもあるように、世界的にも長年セキュリティ運用を悩ませているのがセキュリティアラートだ。EDRの運用において最も多く目にする課題がアラートに付随したものだ。

「アラートがあまりにも多過ぎで処理し切れない」
「量が多過ぎて重要なものを見逃す」
「アラートを見ても何が問題なのかが分からない」
「過検知があまりにも多過ぎる」
「過検知は仕方ないにしてもその理由が分からない」
「端末上での挙動を列挙されるだけで全体像が分からない」
「トリアージ(優先度の判断)の判断材料が不足していて結局人間の判断を求められる」

 セキュリティを強化するために導入したはずが、単に足かせになって宝の持ち腐れになっていることが多々ある。

元記事: https://japan.zdnet.com/article/35204440/
IT関連 #CIO/経営 #ビジネス視点で分かるサイバーのリスクとセキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「Spring Native」ベータ版公開、GraalVMによりSpring FramworkのJava/Kotlinアプリをネイティブイメージにコンパイル。JavaVMに依存せず瞬時に起動可能
Java
2021-03-22 20:51
Red HatがクローンOSベンダを非難、「付加価値もなくコードをリビルドするだけなら、それはオープンソースに対する脅威だ」と
Linux
2023-06-28 18:24
富士通、ネットワーク機器の製造拠点でローカル5Gシステムを運用開始
IT関連
2021-04-01 08:37
WebAssemblyでクラウドネイティブを実現するクラウドサービス「Fermyon Cloud」がオープンベータで登場
WebAssembly
2022-10-28 21:14
オラクルの収益責任者に聞く、相互接続を見据えたマルチクラウドの展開
IT関連
2023-04-22 19:38
GitHub、Copilotで高い精度のコードを生成させる方法を指南/Redis、クラウドベンダなどによる商用サービスを制限するライセンス変更を発表ほか、2024年3月の人気記事
編集後記
2024-04-05 00:40
ヘルスケア業界におけるデータ、アナリティクス、機械学習、AIの今とこれから
IT関連
2021-04-28 11:22
「BitLocker」回復画面が表示される不具合–知っておくべき6つのこと
IT関連
2024-08-22 12:31
SaaSの“型”を用意して移行を簡素化–AWSジャパン、クラウド移行サービスを紹介
IT関連
2021-06-11 04:31
「プロダクトのデリバリーを加速する」–Snowflakeの新CEOが年次イベントに初登壇
IT関連
2024-06-08 06:26
IDC Japan、国内金融ITのDXトレンドなど市場動向を発表
IT関連
2021-01-15 18:47
フォードがEVバッテリー管理ソフトウェアのElectriphiを買収、法人顧客向けEV事業を強化
モビリティ
2021-06-20 23:01
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現
FIDO/WebAuthn
2021-08-16 14:08
Apple Music、ロスレスとDolby Atmos空間オーディオに対応 ハイレゾも追加費用なしで6月から提供開始
イラスト・デザイン
2021-05-19 11:09