Digital Arts News Watch



侵入・感染を前提としたエンドポイントセキュリティ対策「EDR」

サイバー攻撃による被害が、相変わらず後を立ちません。米国の調査企業Ponemon Instituteが6カ国237社の企業を対象に実施した調査によれば、日本は米国に次いでサイバー犯罪の被害額が多く、またその種類もマルウェアによるものが最も多いという結果が出ました。

特に未知の脅威を用いた標的型攻撃の手法は近年高度化・巧妙化する一方で、多くの企業がその対処に苦慮しています。そんな中、従来のセキュリティ対策の中心であった「ゲートウェイセキュリティ」に加え、PCやスマートデバイスといったエンドポイント上で実施する「エンドポイントセキュリティ」が注目を集めています。

ゲートウェイでのセキュリティ対策をどれだけ強固にしても、近年の高度な標的型攻撃の前では、マルウェア侵入を100％完璧に防ぐのは難しくなってきました。そのため社内ネットワークへの侵入を防ぐ対策だけでなく、マルウェアに侵入されエンドポイント端末が感染してしまったことを想定した対策がどうしても必要になってきます。

またノートPCやスマートデバイスといったモバイル型のエンドポイント端末は、社外に持ち出して使われることが多く、社内ネットワークに施したセキュリティ対策を経由せず直接インターネットにアクセスするケースも多いため、余計に端末上でのセキュリティ対策が重要になってくるのです。

ちなみに一口にエンドポイントセキュリティといっても、従来型のシグネチャベースのアンチウイルスから最新型のふるまい検知まで、さまざまな対策技術が存在します。その中でも最近特に注目を集めているのが、「EDR（Endpoint Detection and Responce）」と呼ばれる技術です。

EDRは、従来のエンドポイント対策とは一線を画すものだといえます。これまでの対策は、どれも「端末の感染を防ぐ」ためのものでした。一方でEDRは、どちらかというと「端末が感染した後の対応や調査」に重点を置いています。前述のように、マルウェア感染のリスクをゼロにすることがもはや不可能である以上、感染を想定した備えを万全にしておくことが、マルウェアの実害を抑える上で極めて実効的だといえます。

そのためにEDRは、エンドポイントにおける各種プログラムのふるまいを監視し、インシデントの有無を判断する「検知」、疑わしい動きを検知した際にその端末の通信を遮断したり不審なプロセスの実行を止める「遮断」、そしてシステム上のふるまい（ファイルI/O、レジストリ操作、プロセス起動、ネットワークアクセスなど）を証跡として記録する「調査」の3つの機能を提供します。

1. ｢エンドポイントセキュリティ対策」製品情報

EDRの取り組みを強力にバックアップする「i-FILTER ブラウザー＆クラウド」

弊社が提供するエンドポイントWebセキュリティ製品「i-FILTER ブラウザー＆クラウド」でも、一般的なセキュリティ対策やWebフィルタリングの機能とあわせて、EDRの機能も提供しています。「i-FILTER ブラウザー＆クラウド」は、情報漏洩対策のための専用ブラウザー製品「SecureBrowser」と、エンドポイント上のすべてのプロセスのWeb通信を一括して制御できる「MultiAgent」という2種類の製品ラインアップで構成されています。この両製品を組み合わせて運用することで、効果的なEDRを実現できるようになっています。

「i-FILTER ブラウザー＆クラウド」を導入したエンドポイント端末では、Web通信はすべて「i-FILTER ブラウザー＆クラウド」によってチェックされます。その内容は、デジタルアーツが外部のセキュリティ企業・団体の協力を得て構築した脅威情報データベースの内容と照らし合わされ、もし疑わしい通信が検知された場合は即座にブロックします。これは、先ほど紹介したEDRの3つの機能の内の「検知」と「遮断」に相当します。

また疑わしい通信や、端末の感染を検出した際には、その旨を即座に管理者に通知します。この通知を受け取った管理者は、「i-FILTER ブラウザー＆クラウド」がクラウドベースで提供する管理コンソールを通じて、感染端末を即座にネットワークから隔離できます。これはまさに、EDRの「遮断」の機能に該当します。

加えて「i-FILTER ブラウザー＆クラウド」は、「どのエンドポイントがどのサイトにアクセスしたか」の履歴を詳細に記したログを記録します。万が一インシデントが発生した際、このログの内容を調査することで感染の経路や範囲を素早く特定できます。これはまさに、EDRの「調査」の機能にほかなりません。

こうした機能に着目した多くの企業が、「i-FILTER ブラウザー＆クラウド」を実際に導入してEDRの取り組みを進めています。例えばとある大手新聞社では、社外利用されるノートPCやスマートフォンのエンドポイントセキュリティ対策強化とともに、万が一インシデントが発生した際にログを基に問題切り分けと感染状況把握をいち早く行う「インシデントレスポンス」の手段として、「i-FILTER ブラウザー＆クラウド」を活用しています。

このほかにも「i-FILTER ブラウザー＆クラウド」は数多くの企業や官公庁、教育機関において、日々さまざまな用途で活用されています。弊社の製品紹介ページではこうした活用事例が多数掲載されていますので、興味をお持ちの方はぜひご参照ください。

＜「i-FILTER ブラウザー＆クラウド」製品担当：桑原＞

「i-FILTER ブラウザー＆クラウド」の詳細は製品紹介ページをご確認ください。