エンドポイント保護プラットフォーム(EPP:Endpoint Protection Platform)はエンドポイントデバイスのセキュリティ脅威対策になり、既知の悪意あるソフトウェアなどに対応できます。PC検知と即時反応(EDR:Endpoint Detection and Response)ソリューションはEPPで制御できなかったインシデントを検知、対処できます。これらはどちらかの方が重要で、一方だけ導入しても効果があるのでしょうか?現在リリースされているEPPプラットフォームは両方の機能を備えた製品が多く、脅威への防御策とEDR機能が含まれています。予防策と事後対応策が深く関連している以上、EPPとEDRについて把握して、それぞれのメリットとデメリットを理解する必要があります。
EPPとは
EPP(Endpoint Protection Platform)は、主に旧来の脅威(既知の悪意あるプログラムなど)攻擊とAPT(ランサムウェア)による侵入を防止する製品です。EPPは以下の方法で悪意ある行為を検知します。
- 特徴比較:既知の(公開されている)悪意あるプログラムの特徴で脅威を識別する。
- ML(機械学習)静的解析:ディープランニングで実行前からファイルを解析して、その脅威可能性と属性を識別する。
- サンドボックステスト:仮想環境でプログラムを実行して、その動作を観察してから実行の許可を与える。
- ブラックリスト/ホワイトリスト制御:特定プログラム・URL・IP・ポートの使用を禁止または許可する。
- 行為分析:端末作成後の一定時間帯を切り取ってその期間の活動を基準として、この基準から外れた活動やプログラムの動作を状態異常と判別する。
EPPは一般的に以下のツールが含まれています。これらのツールは受動的な保護を提供します。
- アンチウイルスソフトウェア(AV:Antivirus)と次世代のアンチウイルスソフトウェア (NGAV:Next Generation Antivirus)
- ポート制御と通信制御
- データ暗号化・データ漏洩に対策できる機能
EPPとEDRはGartnerが2013で新たなセキュリティとして定義した技術です。その基本は異常活動や被害発生前に特徴を検知して、可能性のある攻撃を即時に対応することにあります。一般的にセキュリティ担当者は発生したインシデントを即時に把握することは難しいですが、EDRであれば遠方の端末を有効かつ速やかに処置することができます。EDRソリューションは主に3つの要素があります。
- ログ収集:端末デバイス上のエージェントでプログラム実行・ネットワーク接続・ファイルのアクセスログを収集する。
- 検知エンジン:端末の活動を解析して、異常を検知するとインシデントの警告を出す。
- 対抗処置と復元:検知した異常のレベルに応じて、能動的に対抗処置を実施し、復元動作を行う。
EPPとEDRを併用するのが一番安全な対応です。 EPPは第一防衛ラインで、攻撃自体が行われるのを阻止します。このような保護はどうしても100%完璧にはできないので、防衛ラインを突破して侵入した悪意あるプログラムをEDRで対応します。基本的にEDRには予兆の検知と攻撃が展開された後の対応や被害軽減の仕組みが備わっています。EPPのポイントは製品化された侵入用アセットを対策することです。ドアの電子ロックのように窃盗という行為は防げませんが、電子ロックで侵入をある程度防止できます。ほとんどの場合、侵入者はEPPの突破を諦めて、侵入しやすい別のターゲットに変えます。
EDRの真価はインシデントの追跡可能性と対応ツールにあります。これにより、セキュリティ担当者は即時で正しい対策を実施できます。またEDRは攻撃された後の被害を軽減して攻撃拡大の速度を低下させ、攻撃者による完全支配や完全破壊までの時間をできるだけ引き延ばせます。セキュリティソリューション構築時はEPPとEDRを同時に考慮する必要があります。さながら街中を走るパトカー(EPP)と救急車 (EDR)のように、予防パトロールと被害者の救護を同時に実行して、企業システムのセキュリティを確保します。
------ここまでのソリューションで十分か?システムの置き換えでなく、既存システムに追加する形でデータを保護することはできないか?
エンドポイントセキュリティ保護ソリューションを更新する時期
過去20数年のエンドポイント保護の主なソリューションは特徴比較をベースにしたアンチウイルスソフトウェア(AV:Antivirus)です。ほとんどのネットワーク通信が暗号化されておらず侵入手段も比較的に単純な時代であれば、能動的な端末アンチウイルスソフトウェアと外部プロテクトデバイスだけで十分に組織を保護できましたが、侵入手段が進化してネットワーク通信がほぼ暗号化された今の時代では対処できないランサムウェアが猛威を振るい、さらに個人情報保護の義務化の法律により新たなセキュリティソリューションが求められています。インシデント発生時、管理者と担当者のためにより可視化されたコントロール権限が大きいシステムが必要です。
DLPとEDRを組み合わせたソリューション
DLP(情報漏えい防止)ソリューションにEDRの仕組みが含まれている製品もあります。例えば社員の直近30日におけるメール送受信やインスタントメッセージ・ファイル転送を収集したい場合、そもそも端末上の活動から収集するのが一番便利です。
さらに、端末で実行されるプロセス (running process)・ソフトウェア・アプリケーションファイル・ネットワーク接続・アクセスログを収集して、インシデント発生時の経過と比較するのも有効な手段です。
端末のOS、ユーザ操作やアプリケーション活動を監視するのであれば、これらを制御できる仕組みがあればさらに良いはずです。通常業務に影響するので、ユーザ操作を制限し続けてしまう旧来の固定ルールのデバイス制御はどうしても扱いや運用が難しくなります。禁止や許可ルールが事前に設定されている以上、現在の多様化した作業環境に必要な柔軟性が備わっていません。
旧来のEPPシステムで実行中のPowerShellを監視し、メールで起動したPowerShellによるレジストリー改竄やネットワーク接続に対して警告を出したい場合、実際に警告が出されても旧来のEPPは複雑なポリシー設定とルールが伴うので、警告が出された根本の原因を直感的に把握できません。今までの対応方法では大量なログを収集して異なるシステムのログも正規化処理してから解析する必要があり、ひと通り終えてからインシデントに対処してもすでに手遅れになります。また、異なるシステム故に、ログ自体の整合性と証拠力も劣ります。
DLPとEDRを組み合わせたソリューションでは、エンドポイントセキュリティに重要な観点を追加しています。単一イベントではなく、関連する(または関連しない)イベントの組み合わせを検知できます。さらに即時対応したログも記録されます。インシデント発生時も時間順にタイムラインを記録するので、事後も追跡もしやすくなります。端末のエージェントは自動的に各イベント活動を監視・記録・制御できるので、担当者は端末から管理サーバに回収されたデータを元に対策処置を実施して、被害の拡大を防止できます。