お役立ち資料
お問い合わせ

サービスに関するご相談についてはこちらから承っております。

コラム
2021.07.06 セキュリティ

EDRの運用を劇的に改善するEnhanced EDR by AppGuard

なぜEDRの運用が難しいのか

「EDRを導入しても適切に運用できていない企業が多い」といわれますが、それはなぜなのでしょうか。

その原因として挙げられるのは、EDRより発信されるアラートの多くが誤検知や過検知となっていることです。
そのため、EDR導入企業では、EDRが検知する多量のアラートの中から、真の攻撃情報を抽出する技術が求められます。そしてこの抽出作業と、ホワイトリスト登録に、システム管理者のリソースが取られてしまうケースが、多く見られます。

EDRの運用における課題

  • EDRを導入したが、閾値を標準のままにすると大量の過検知・誤検知のアラートが挙がり、閾値を下げるとサイバー攻撃がすり抜けてしまう心配がある。
  • EDRアラートが、システム管理者宛に毎日数十件着信しているが、多忙で検証していられない。
    (ほとんどのアラートは、複合機の印刷・マクロファイルの起動・クラウドサービスへの反応である)
  • EDR SOC※を利用しているが、毎月数十万円の費用に対しほとんどインシデント報告は無く、経営層より必要性が問われている。

その結果、EDRを導入した多くの企業では、「アラート対応に追われる状況に陥るか」、あるいは、アラートの閾値を高く設定することで、アラートの件数を絞り「抜け漏れの多い運用に甘んじるか」、どちらも好ましくない選択に迫られています。

※ SOC:「Security Operation Center」の略称で、24時間365日体制でネットワークやデバイスの監視運用を行う受託組織。

現在多くのベンダーが提案するマネージドEDRサービス

そこで大きな市場の伸びが期待されているのが、マネージドEDRサービスです。

マネージドEDRサービスベンダーは、各社独自SIEM※情報をDB(データベース)に持っており、EDRのアラートに含まれる正常な反応を選り分け、ふるいに残った脅威アラートをクライアントであるEDRユーザー企業へ報告します(エスカレーション)。
EDRユーザー企業では、報告の中で重大と判断したものについて、マネージドEDRサービスベンダーへ回答し、対象デバイスの隔離などの作業代行を指示します。

しかし、EDRのアラート精度を補うための必要措置としては、少々回り道な印象を受けませんか?

※ SIEM:「Security Information and Event Management」の略称。機器やソフトウェアの動作記録を一元的に蓄積・管理して相関分析を行うことで、セキュリティインシデントを自動検出し、脅威となる事象をいち早く通知する仕組み。

サイバー攻撃の実態

国際的にサイバー攻撃を行うハッカー集団は、侵入後19分で踏み台構築を完了させてしまうと言われています。そこで、EDRのユーザー企業では「攻撃後1分で検知、10分で解析、60分で対処すべき」ということが提唱されています。

そのため、システム管理者は24時間365日臨戦態勢で攻撃への対処を行うことが求められており、マネージドEDRサービスを利用したとしても、システム管理者に対する負担は相当高いものとなっています。

DRSがリリースした Enhanced EDR by AppGuard サービス

マルウェア攻撃やファイルレス攻撃に対し、未知、既知を問わず被害発生を的確かつ未然に阻止し、20数年間1度も攻撃のすり抜けを許したことがないAppGuard(アップガード)というセキュリティ製品が存在します。 このAppGuardがEDRの前線で防御を行い、そのブロックログの内、マルウェア判定した情報だけをEDR側で活用(分析)すれば、アラートの真偽を確認する手間が省けるのではないでしょうか。

DRSの「Enhanced EDR by AppGuard」は、そのようなコンセプトから生み出されました。
従来のEDRを強固なものとするべくAppGuardを組み合わせた付加価値サービスとなります。

DRSが独自に開発したログ分析エンジンにより、AppGuardの全てのブロックログを自動的にVirus Total(Google LLC社が運営するマルウェア検査を行うウェブサイトサービス)へ突合させ、70以上のセキュリティ調査機関のうち、3機関以上がマルウェアまたは悪性ファイルと判定した場合、「要注意ファイル」の注記を付けます。この詳細情報を、毎週「グローバルマルウェア分析レポート」としてお客様へご提供します。

お客様は、このレポート情報を基に、対象端末を特定し、侵入経路の調査やマルウェアまたは悪性ファイルの削除にすぐ取り掛かることができるようになります。また、攻撃の事実があった場合でもAppGuardがその攻撃元となる対象アプリ=マルウェアの動きを封じ込めているため、緊急性が低くなるのも利点です。

セキュリティのご相談はDRSへ

私どもディーアールエス株式会社(DRS)は三菱HCキャピタルグループのIT戦略子会社として位置付けられ、PCのレンタルおよび運用を軸とし、さらにはセキュリティ全般に関するサービスを展開しております。セキュリティ・ソリューション・アグリゲーターとして、お客様毎のITセキュリティ戦略に寄り添った活動を推進して参ります。

DRSでは、前述の改正個人情報保護法への対策に関する、最新のサイバー攻撃に耐えうる対策やアクセス制御システム導入のご提案が可能です。また、システム運用に関する豊富な経験も有しておりますので、ご質問、ご相談がございましたら、お気軽にご連絡ください。

セキュリティAppGuard

エンドポイントセキュリティ製品「AppGuard(アップガード)」のリーフレットです。

資料ダウンロード

関連記事

page top