中小企業でのセキュリティ対策にEDRが注目される背景！3つの機能や運用のポイントを解説

• 2024.3.29 (金)
  Posted by

昨今、多くのサイバー事故による被害が発生しており、特にランサムウェアによる被害は多く報告されています。ランサムウェアとは、PCやサーバーがウイルスに感染し、データの暗号化が行われ、その復旧と引き換えに金銭を要求される攻撃を指します。ランサムウェアのようなリスクに対応するためには、企業でのセキュリティ対策が重要です。セキュリティ対策にはいくつか方法があるため、導入目的や対応範囲などを確認した上で、導入を検討する必要があります。

セキュリティ対策の1つとして知られているEDR（Endpoint Detection and Response）は、脅威の侵入後の対応が可能な製品です。今回の記事では、EDRが注目されている背景や、機能について紹介します。あわせてEDRの運用のポイントも紹介しますので、導入をお考えの方はぜひ参考にしてください。

ランサムウェアとは、暗号化してファイルを利用できない状態にし、暗号を解くことと引き換えに身代金を要求する悪意のあるソフトウェアです。2017年には、ランサムウェアの「WannaCry」が世界中で感染拡大し、大規模な被害をもたらしました。例えば、WannaCryによって工場が操業停止に追い込まれる、医療機関で手術や診療が行えない、などの事態が発生しました。

ランサムウェアで暗号化されたファイルを元の状態に戻すのは、非常に難しいとされています。また、身代金を払ってもファイルが元に戻るかはわからないため、安易に要求に応じるのも危険です。そこで、ランサムウェアへの対策として、ウイルス対策ソフトをはじめとしたさまざまなセキュリティ対策を導入する企業が増えています。

ただ、近年はランサムウェアの手口や種類が多様化・巧妙化し、侵入時にウイルス対策ソフトが無効化されるといった事例もあります。そのため、セキュリティ対策を行っていても、完全に感染を防ぐことは不可能だと言われているのが現状です。

ランサムウェアによる被害は大企業だけでなく、中小企業でも多く発生しています。ここでは、中小企業でのランサムウェア被害の事例を紹介します。

新潟県にある従業員数50名以下の製造業企業で、オフラインで使用していたパソコンを誤ってネットワークに接続してしまい、Webサイトの閲覧を通じてランサムウェアに感染しました。

ランサムウェアの感染によって、会社が抱えるファイルが暗号化されましたが、バックアップファイルからデータの復元に成功。バックアップを取っていたために、被害を最小限に抑えることができたものの、不注意から大きな被害につながる可能性もあった事例の1つです。

引用元：経済産業省｜産業サイバーセキュリティ強化へ向けた経済産業省の取組の紹介
https://www.jnsa.org/seminar/2018/cross2018/data/3_keisan.pdf

神奈川県で製造業を営む従業員数20名以下の企業で、メールが元となったランサムウェア感染の事件が発生しています。経営者宛に届いたメールに添付されていたファイルを開くと「ファイルのロックを解除したければ連絡するように」と電話番号を記載したポップアップ画面が表示され、消えなくなりました。

社内のデータは共有サーバーに保管され、バックアップも取っていたため会社としての被害はありませんでしたが、感染した端末に保存されていた写真などの個人的なデータは、参照できなくなりました。

引用元：NTTデータ｜中小企業を襲うサイバー攻撃の最新手法を被害の実例
https://www.itc.or.jp/security-com/pdf/2022_02_14_01.pdf

今まで、セキュリティ対策としてはウイルス対策ソフトが一般的で、多くの企業で導入されています。しかし、サイバー攻撃の多様化・巧妙化により、ウイルス対策ソフトでも侵入を100％防ぐことは困難です。

ウイルス対策ソフトは「感染しないこと」のみに重点を置いています。そのため、ウイルス対策ソフトだけではサイバー攻撃の発見・対応が遅れ、被害拡大の可能性もあるでしょう。そこで、侵入前の対策だけでなく、侵入後の対策も合わせて行う必要があります。

そのような中、パソコンなどの端末の監視を行い、脅威の検知や、事故後の調査・原因究明などを行うソフトウェアであるEDRが注目されています。ウイルス対策ソフトは、外部からの攻撃やマルウェアを内部に侵入させないよう防御する役割を持つ一方で、EDRは侵入した後の脅威を検知して、被害が最小限に収まるよう、駆除や隔離などの対応を行うのが役割です。

近年は、テレワークの普及により、社外のネットワークを使用するケースが増えたことから、脅威侵入のリスクも高まっています。EDRの中にはテレワーク端末に対応する製品もあり、新しい働き方にも適応できるサービスが増えています。

ランサムウェアは初期侵入から感染・発病まで5.8日^※かかると言われており、実際にランサムウェアの被害に遭う前に攻撃を検知・防御することが重要になってきます。（※2023年トレンドマイクロ社のインシデント対応支援事例から集計）そのため、EDRはランサムウェアへの対策としても効果的です。ここでは、EDRの基本的な機能を紹介します。

EDRは、パソコンなどの端末の操作ログや通信ログをリアルタイムに監視し、不審な挙動がないかを常に見張っています。端末への攻撃を検知した場合は、すぐに管理者に攻撃の詳細や有効な対処情報を提供する仕組みです。EDRの監視・検知機能によって、マルウェアなどのサイバー攻撃に対して速やかに対処できます。

端末に侵入した脅威からの攻撃を検知し、悪意があると判断した場合、セキュリティ管理者はEDRを通じてプログラムを遠隔で停止させ、ネットワークから隔離することができます。端末への被害を最小限に抑えられ、さらに他の端末への被害拡大や情報流出の防止が可能です。

EDRが端末内を調査し、サイバー攻撃の影響範囲や侵入経路、目的、情報漏えいの有無・漏えいした情報の内容などを明らかにします。

攻撃の動きや方法などを分析して情報を蓄積するため、より早く不審な挙動を検知して、管理者へのスムーズな情報提供が可能になります。また、原因箇所を特定でき、再発防止にもつながります。

EDRを導入する場合、自社でしっかりと運用体制を整えておく必要があります。ここでは、EDRを導入する際の運用のポイントを紹介します。

EDRは日々、端末の監視を行い、不審な挙動を見つけたらすぐに管理者に通知する仕組みです。そのため、管理者がEDRからの通知を受け取ったら、いつでも対応できる状況でなければ、導入の意味がありません。

迅速な対応を実現するために、SOC（Security Operation Center）を設置して、監視を行うケースが一般的です。ただ、特に中小企業は、予算や設備などの問題から、社内でSOCを構築するのは難しいケースが多いでしょう。ベンダーに依頼してSOC体制を整えるとしても、連携方法や対応方法などはしっかりと策定しておく必要があります。

EDRは、脅威の侵入時に、その後の対応を支援する製品であり、脅威に対してすべての対応を行うわけではありません。EDRによる検出や案内をもとに、最終的な対応は人が行います。

また、EDRの検知率を100%に近づけるほど、誤検知率も上がる傾向があり、管理者による見極めが必要です。通知から脅威の真偽を判断して対応するには、担当者の経験と技術力が欠かせません。したがって、EDRの導入・運用を成功させるためにも、EDRに関する知識を持ったセキュリティ人材が必要不可欠です。

サイバー攻撃や脅威は日々進化し、新たな種類が次々に登場しています。定期的なトレーニングや情報共有で、セキュリティチームのスキル向上は必須ですが、セキュリティ人材の雇用の競争倍率は高く、そのような人材を中小企業が採用・育成するのはハードルが高いとされています。

EDRは、脅威が侵入した際に管理者へと通知し、脅威を取り除くサポートをしてくれるものの、あくまでサポートにすぎません。脅威侵入後の対応は、人による対応か、もしくは他のツールを活用して対応するケースが一般的です。

そのため、脅威侵入時に、どのような対応を行うのかを迅速に判断し、かつその手法をすぐに実行できるような準備を整えておく必要があります。

EDR単体での導入は、コストや運用体制などのハードルが高く、特に中小企業での導入・運用は難しいケースが多いでしょう。特に、EDRは管理者の判断が必要になる場面が多くあります。正常か異常かの判断や適切な対応には、専門知識や高度な技術力が必要なので、理解の低さから活用できないケースもあります。

また、人員不足で運用体制が整っていない企業も多いのが現状です。そこで、EDRを導入する際には、運用サポートも行ってくれるサービスを選ぶと良いでしょう。さらに、EDRだけでなく、ウイルス対策ソフトとセットで導入することで、脅威の侵入前と後のリスクを両方カバーできます。一元的なセキュリティ対策が可能なだけでなく、ウイルス対策ソフトからEDRまで一括でサービス提供事業者に運用を任せられるため、自社に専門的なスキルや知識を持った人材がいなくても、安心した運用が可能です。

ウイルス対策ソフトとEDRを別々に導入するよりも割安な場合が多く、費用面の負担も軽減しながら導入できます。サイバー攻撃の侵入前の対策であるウイルス対策ソフトと、侵入後の対策であるEDRを組み合わせる二段構えのセキュリティ対策が必要とされている今、セット導入はさまざまな面でメリットを享受でき、効果的です。

NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」は、1つのサービスを導入するだけでUTM、ウイルス対策ソフトとEDRの機能を利用できます。通信の出入口対策となるUTM、ウイルスの侵入を検知・防御するウイルス対策ソフトの機能と、新種ウイルスの早期発見・迅速な初動対処、プロの目による詳細調査、復旧などのEDRの機能を備えています。

さらに、セキュリティ運用代行・支援までを行い、NTT東日本が一元的にセキュリティ対策をサポートします。EDRやウイルス対策ソフトの導入で企業のセキュリティ対策を強化したいなら、NTT東日本のサービスをご検討ください。

近年、ランサムウェアの種類の多様化や、手口の巧妙化により、被害は深刻化しています。そのような中、パソコンやサーバーなどの監視を行い、脅威の検知や事故後の調査・原因究明などを行うソフトウェアであるEDRが注目されています。

EDRの運用を成功させるには、監視体制の構築や、セキュリティ人材の確保などが必要です。ただ、中小企業が自社のみでこのような運用体制を構築するのはハードルが高いでしょう。

NTT東日本は、UTMとウイルス対策ソフト及びEDRの３つの機能を備え、セキュリティに関する運用も任せられるサービス「おまかせサイバーみまもりセキュリティパッケージ」を提供中です。一元的なセキュリティ対策を行いたいなら、NTT東日本のサービスをぜひご検討ください。

ページの先頭へ

おまかせサイバーみまもりセキュリティパッケージのトップに戻る