昨今ではサイバー攻撃の高度化、ウイルスの変化などによって、100%の防御は存在せず未知の脅威には侵入を前提とした対応を行う「ゼロトラスト」の考え方が一般化したことに伴い、エンドポイントセキュリティにおいてはEDR(Endpoint Detection and Response)の導入が進んでいます。EDRの導入が進む一方で生じてくる運用面等での課題を考えるとともに、本記事ではEDRをより有効に活用するための「ゼロトラストエンドポイント」が提案する新しいエンドポイントセキュリティをご紹介します。
目次
なぜ誤検知が多く管理工数が多いのか。結論から言うとEDRのみで全体を管理しようとしているからと考えます。普段使っているエンドポイント(端末)はインターネットと常に接続している状態なので、攻撃者からの危険にさらされています。そこでEDRのみですべてを管理しようとすることで、EDRの監視対象のログ情報が膨大になり複雑化してしまうため、誤検知や管理工数の増大につながります。EDRは万能なソリューションではありますが、使い方によっては管理者の負担となってしまいます。
なぜ攻撃が検知できないのか。エンドポイントセキュリティの代表であるAV(アンチウイルス)とEDRがありますが、これらは既知の攻撃をベースにルールを作成した検知型のセキュリティです。よってゼロデイ攻撃や未知の攻撃に対してはルールが適応せず、攻撃がすり抜けてしまう可能性があります。ルールに引っかかればAVやEDRで検知できますが、すり抜けてしまえば端末に被害を与えることになります。またEDRは侵入されることを前提としたソリューションで、外部の攻撃者が内部探索や横展開(ラテラルムーブメント)をするような行動に関して被害を最小限にすることとなるので、確実に攻撃を検知できるとは言い切れません。
なぜ対応方法がわからないのか。EDRはいつ何が起こったか被害範囲を調査・可視化し、検知した攻撃に介入することで被害を最小限に抑えることができます。その一方で、侵入されてからの対応となるため、検知した後の対応方法には課題が残ります。攻撃が少しでも行われていた場合、復旧困難なデータ暗号化や情報の外部流出等の被害が発生する可能性があり、対応方法は状況によって様々となるためです。
攻撃者の潜むインターネットに関わる操作を仮想隔離環境に分離することにより、収集対象となるログを削減します。
制御の観点では、予め社内で認められたアプリケーションのみ権限昇格することで、一般ユーザは業務に必要な作業は変わらず実施でき、IT管理者は一般ユーザによる不要操作を制御することができます。
このように分離と制御を追加することで、EDRの検知対象は組織として動かすべきものに絞られ、ログの情報量が減少することで運用しやすくなるのではないでしょうか。また侵入されてからの検知という考え方から予防的なアプローチにシフトすることで、脅威や感染によるリスクを下げることが可能となるため、本来あるべきゼロトラストのエンドポイント対策が実現できるようになります。
侵入の経路として多いメールの添付ファイルやインターネットへのアクセスを端末内で分離して起動させるソリューションです。EDRのみではすり抜けてしまう脅威も使い捨ての仮想隔離環境で開けば端末や組織への影響はありません。仮想環境でも同じように閲覧や編集を可能にすることで、ユーザの利便性を保ちます。
エンドポイント内で特権アクセス管理を実現するソリューションです。管理者権限で実行してよいアプリケーションとそうでないものを管理し、アプリケーションインストールや設定変更を情シスなどに問い合わせることなく、利用者自身で実行をすることができるため、運用負荷の軽減とセキュアな環境の両立が可能です。
昨今、サイバー攻撃が巧妙化している中、EDRがあれば安心といった事後対策中心の考え方から予防的対策へ考え方をシフトすることで、セキュリティインシデントのリスク低減に繋げることができるのではないでしょうか。またゼロトラスト対策として、守るべきものは何かと考えたとき、リモートワークでより攻撃されやすくなったエンドポイントを守ることが重要となるため、分離・制御・検知といった3段階でのセキュリティ対策を検討してみてはいかがでしょうか。