「人手もコストもかけられない」企業でも容易に導入可能なEDRとはEDRとネットワークの連携で実現

サイバー攻撃が激化し、規模を問わずさまざまな企業が被害を受ける中、どのような対策をすべきか。「もはや予防措置だけでは不十分」という認識からEDRの導入を検討するものの、人材不足や運用負担の大きさを理由に諦めていないだろうか。

» 2022年06月16日 10時00分 公開
[PR/ITmedia]
PR

 コロナ禍やロシア軍によるウクライナ侵攻といった世界情勢の変化に乗じて、サイバー攻撃が激化している。大企業を狙った標的型攻撃だけでなく、関連する中堅・中小企業を標的にしたサプライチェーン攻撃も発生しており、もはや企業規模を問わずいつサイバー攻撃を受けてもおかしくない状況だ。

 特にマルウェア「Emotet」は、取引先企業を装って業務に関連した内容の電子メールを送るなど巧妙な攻撃手段で感染を拡大させており、中堅・中小企業だからといって「攻撃者が欲しがる情報などないのでウチには関係ない」と考えてはいられない状況だ。セキュリティ対策が不十分なことを理由に、取引先企業から取引を停止されるリスクもある。

 こうした深刻な事態を背景に、脅威の侵入防御だけでなく、万一の侵入後を意識したセキュリティ対策としてEDR(Endpoint Detection and Response)に注目が集まっているが、そこでネックとなるのがEDR導入による運用管理負担の増大だ。

セキュリティ運用を楽にしたいのに……これまでのEDRが抱えてきた課題

 シグネチャに基づいて既知のマルウェアをブロックするソリューションでは対処し切れない未知の脅威や、Emotetのように防御網を擦り抜ける脅威が増加している。そのためセキュリティトレンドとしては、脅威の侵入を防ぐ「予防」的な対策から、侵入を前提とした「検知、対応、修復」にフォーカスした対策の重要性が叫ばれている。

 EDRはエンドポイントで脅威を監視し、インシデントが疑われる場合は「どこからどのように侵入されたのか」「他に影響を受けた端末はないか」などを調査し、必要に応じて不正ファイルの削除といった復旧作業を支援するソリューションだ。この数年、複数のセキュリティベンダーがEDR製品を発表しており、導入した企業も多いはずだ。

フォーティネットジャパンの前田成保氏 フォーティネットジャパンの前田成保氏

 だが、EDRを導入した現場からは不満の声が漏れ聞こえる。フォーティネットジャパンの前田成保氏(セキュリティファブリック推進本部 第一営業部 アカウントマネージャー)は「セキュリティ運用や分析に当たる担当者を用意できる大企業であればともかく、限られた人数でセキュリティを運用する企業では、EDRの運用は難しいのが実態です」と話す。

 アンチウイルス製品であれば、ライセンスを購入して各端末に配布すれば、後はパターンファイルを更新する程度で済む。これに対してEDRの場合、1日当たり数百件ものアラートが上がるケースもある。

 そのため24時間365日体制で張り付いてそれらを精査し、誤検知を排除しつつ、本当に怪しい動きを見つけ出して対処しなければならない。さらに、EDR製品はあくまで脅威の検知にフォーカスしているため、インシデントが発生時はどの順番で脅威に対処するかを担当者自身で判断する必要がある。自社でそれを賄うのが困難な場合は外部の運用管理サービスを導入することになるが、それには多額のコストが発生する。

 「それだけのコストを払っても、サービス事業者だけでは対処が完結せず、夜間や休日に緊急事態が発生した場合はEDR導入企業の担当者が手を動かさなければならないケースもあるため、運用体制の整備も含めて大きな負荷が掛かります。加えて、本当に深刻なインシデントが発生するのは年に数回程度というケースも多く、費用対効果を経営層に説明するのも難しいというのが実情です」(前田氏)

少ないリソースでシンプルに運用できる「FortiEDR」とは

 こうした実態もあり、EPP(アンチウイルスソフト)だけ採用し、EDRの導入を諦める中堅・中小企業もある。防御を強化しつつ、それでも侵入は起こり得ることを前提にして迅速にインシデントの検知、対処、復旧を行うには、限られたリソースでも簡単に運用できるEDRが必要だ。

 フォーティネットジャパンは、このコンセプトを実現する新世代のEDR製品として「FortiEDR」を提供している。前田氏によれば、FortiEDRには4つの特長がある。

 1つ目は、EPPに後からオプション的にEDR機能を追加するのではなく、初めからEDRとEPP、そしてアプリケーションの可視化・脆弱(ぜいじゃく)性検知といった統合的な保護機能を一つのモジュールとして提供していることだ。複数のソフトウェアを組み合わせて導入することなく、攻撃の侵入前から侵入後の対策までをFortiEDRだけでサポートできる。

 2つ目は、軽量なソフトウェアかつ幅広いOSをサポートしていることだ。必要なメモリは120MB、必要HDDは20MB程度で、CPUに与える負荷も1%以下と軽量なので動作が重たくなる懸念は少ない。「Windows 10」や「Windows 11」などの主流のOSだけでなく、「Windows 7」などの古いOSや「Linux」などに対応する。アプリケーションの互換性などの問題で古いOSを使い続けざるを得ない環境やサーバなども保護可能だ。

 これを可能にするのが、フォーティネットの特許技術である「コードトレース技術」だ。カーネルモード、つまりOSの深い部分で挙動を監視し、振る舞い検知や機械学習による検知で、レジストリの書き換えやファイルの置き換えといった通常とは異なる不審な振る舞いを検知する。ここに、フォーティネットのリサーチ機関であるFortiGuard Labsの調査結果などを反映した脅威インテリジェンスを組み合わせることで、従来のシグネチャに基づく方式だけでは検知できない、MITRE ATT&CKフレームワークで定義された最新の脅威の攻撃手法などをブロックする。

 3つ目の特長は、侵入後の対策だ。従来のEDR製品において最も運用負荷が高く、課題とされてきた部分だが、FortiEDRは「Playbooks」と呼ぶ仕組みを活用して検知後の対応を自動化し、人的リソースが少ない環境での運用を実現する。

 脅威が防御網を擦り抜けて端末に到達し、レジストリに変更を加えたりファイルの暗号化を試みたりすると、FortiEDRは前述のコードトレース技術などを駆使してそれを検知する。

 同様の機能を搭載するEDR製品もあるが、アラートを受け取った人間が「どのくらい危険か」の判断を下し、深刻そうな場合はネットワークから端末を切り離すといった対処を手動で行う必要があった。これに対してFortiEDRは、検知した内容を6種類に分類してリスクに応じてPlaybooksで事前に設定した内容に沿って自動で対処する。新規のインシデントも、初回でPlaybooksに設定することで、時差で発生する同一インシデントは自動対応となる。

 「FortiEDRはPlaybooksに基づいて脅威のリスクを判断し、レジストリの書き換えやファイルの暗号化といった動きがあれば、一次対処することで被害を食い止めます。万が一被害に遭ったとしても、FortiEDRが取得したバックアップデータを使った復旧も可能です」と前田氏は語る。

 これによってセキュリティ管理者や情報システム部門の担当者は逐一アラートをチェックする必要がなくなり、FortiEDRが発行する脅威の検知から一次対処までの詳細を記載したレポートを確認すれば済む。

フォーティネットの製品群と連携し、ネットワーク全体を包括的に保護

 4つ目の特長は、次世代ファイアウォール「FortiGate」をはじめとするフォーティネット製品群と連携し、エンドポイントだけでなくシステム全体を保護するという同社が提唱するコンセプト「フォーティネット セキュリティ ファブリック」を実現することだ。

 「外部の怪しいサイトとの通信や不審なファイルのダウンロードをFortiEDRで検知した場合、通信元のIPアドレスをFortiGateに通知して通信をブロックすることで被害の拡大を防ぎ、EDRが導入されていない端末や機器も保護します。同様に、ネットワークセグメントごとにファイアウォールを立てて連携させることで、ラテラルムーブメントと呼ばれる脅威の横展開も食い止められます」(前田氏)

FortiEDRとFortiGateの連携で脅威に対処する(出典:フォーティネット提供資料) FortiEDRとFortiGateの連携で脅威に対処する(出典:フォーティネット提供資料)

 統合的なセキュリティ機能を提供するFortiGateは、日本でも規模を問わず多数の企業に導入されている。この実績を活かしつつ、FortiEDRで検知した不審な外部通信などの情報を共有し、いわゆるXDR(Extended Detection and Response)的な機能をSIEM(Security Information and Event Management)のような他のソリューションや追加オプションを導入することなく実現できる。ログの一元管理・分析を支援する「FortiAnalyzer」や、ネットワークスイッチ「FortiSwitch」といった製品と組み合わせることで、シンプルかつセキュアなネットワークを構築する。

人的リソースがない企業も大丈夫 PoCなども含めた導入支援を提供

 人的リソースの問題からEDR導入に不安を覚える中堅・中小企業もあるはずだ。フォーティネットのパートナーである日立システムズは、さまざまなセキュリティソリューションの導入を支援してきた経験やベストプラクティスを活かし、FortiEDRの導入を支援している。

日立システムズの徳永浩三氏 日立システムズの徳永浩三氏

 日立システムズの徳永浩三氏(産業・流通デジタライゼーション事業部 第三デジタライゼーション本部 第一システム部 主任技師)は「FortiEDRの検証を踏まえ、システムインテグレーション時のポイントを押さえたヒアリングやPoC、本番導入に向けたチューニングなどを組み合わせ、顧客がスムーズに導入できるよう支援します」と語る。

 同社は、FortiEDR導入企業によるより容易な運用のための操作説明や運用支援ドキュメントも用意している。さまざまなEDR製品をインテグレーションしてきた知見をもとに「『EDRの運用は難しい』という従来のイメージを払拭(ふっしょく)するサービスを提供します。これらの支援で、情報システム部門でセキュリティ業務を兼務するような担当者の負担を軽減できればと考えています」(徳永氏)

 日立システムズは、FortiGateをはじめとするフォーティネットの製品群と連携して国内外の拠点ネットワークを保護するネットワークソリューション「SD-Branch」を提供する他、今後は「セキュアで快適なネットワーク環境をあらゆる場所、端末、人に提供する」というコンセプトの下、さまざまなクラウドベースのサービスや運用監視を組み合わせたサービスプロバイダー型のAs a Serviceモデル(Secure Network as a Service)の展開を予定している。

Secure Network as a Serviceの概要図(出典:日立システムズ提供資料) Secure Network as a Serviceの概要図(出典:日立システムズ提供資料)

 脅威が日々進化する中、人的リソースが少ない企業にとってコストを抑えてシンプルにセキュリティを運用できるかどうかは非常に重要な問題だ。FortiEDRを核とした統合ソリューションを活用することで、セキュリティ製品間で情報を共有し、脅威に迅速に対処できる仕組みを構築してほしい。

ウェビナー開催
「運用が劇的に楽になる! FortiGate連携もできるFortiEDR」

 本稿で紹介しましたFortiEDRをご紹介するウェビナーを7月14日に開催します。フォーティネットの製品群を活用した日立システムズの「Secure Network as a Service」もご紹介しますのでぜひご参加ください。


お申し込み:https://global.fortinet.com/apac-lp-jp-fortiedr-jul14


Copyright © ITmedia, Inc. All Rights Reserved.


提供:フォーティネットジャパン合同会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2022年6月23日