使える! 情シス三段用語辞典89「EDR(Endpoint Detection and Response)」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け 「EDR」の意味
EDR(Endpoint Detection and Response)とは、システムのエンドポイントで動作するセキュリティ製品で、攻撃の検知・対処・復旧を行う機能を持っています。エンドポイントとはシステムのネットワークにつながっている全ての端末のことで、サーバーやパソコン端末、タブレットやクラウド上の端末も含みます。従来は、そうした端末にアンチウィルスソフトを入れたりWebフィルタリングを行うなどで「マルウェアに感染しないため」のセキュリティ対策を行っていました。EDRは、そうしたエンドポイントにおいて「マルウェア感染が発生してしまった場合に」その攻撃をいち早く検知して迅速な対処と解析を行うためのシステムです。具体的には、以下のような働きをします。
1.検知
エンドポイントでのふるまいを監視してマルウェアを検知します。機械学習機能がある製品もあります。2.隔離
他の端末に流出させないようにネットワークから隔離するなどマルウェアをそのエンドポイントに封じ込めます。3.情報可視化
さまざまなログと端末の状態を収集し解析します。この結果を可視化し、侵入ルートや影響範囲の特定ができます。こうした原因調査ができることで次の被害を防ぐことができます。4.復旧
不審なプロセスの停止や、カスタムシグネチャ作成などの対処をします。
今まで、セキュリティといえば「悪意ある侵入をいかに防ぐか」という概念で対策がとられていました。この概念に基づいたセキュリティ対策では、ネットワーク上にIPS/IDSやファイヤウォールなどを配置して不正侵入がないかを監視し、エンドポイントではアンチウィルスソフトなどのEPP(Endpoint Protection Platform)で攻撃をせき止めようとしていました。しかしながらサイバー攻撃は年々巧妙化し、マルウェアという形ではなく何の変哲もないOS標準ファイルを利用した攻撃や、本物のアカウントののっとりなどで“不正ではない”アクセスなど、侵入検知が難しい攻撃が増えています。そして、アンチウィルスソフトは既知の脅威情報をもとにマルウェアの駆除を行いますが、上記のような一見不正に見えない形での攻撃や未知の攻撃は防ぐことができませんでした。
こうした状況の中で、「攻撃を受けてしまう」ことを前提としているEDRが注目されています。EDRの大きなメリットは、マルウェア封じ込めまでが迅速に行えること、ログによる原因解析が素早くできて被害拡大を防げることです。セキュリティ担当者が今まで行っていた被害状況全体の把握や、ログ収集と解析などがEDRの支援により大きく効率化され、インシデント対処を早急に行うことができるのです。
二段目 ITが苦手な経営者向け
とある学習塾経営の社長、今日は情シスの江戸さんに何やら相談があるみたいです。
社長:ちょっと聞きたいんだけど、いいかな? 江戸さん、タブレットってパソコンよりいいの? どれくらい便利なの?
江戸さん:タブレットですか?いいかどうかって、目的によりますよ。便利さもどう使うかによりますし。
社長:なんでこんな相談しているかというと、授業にタブレットを導入しようかと思っているんだ。補助教材や授業動画を見られたりするように。パソコンでもいいけど、タブレットの方がとっつきやすそうだし、イマドキでしょ。
江戸さん:そうですね! 今の子ども達はパソコンよりスマホに慣れているからタブレットの方が良さそうですね。
社長:よし! それならさっそく導入しよう!
江戸さん:ちょっと待ってください、タブレットを入れるってことは、インターネットにもつなぐってことですよね。事前にセキュリティについてよく考えないといけないですね。
社長:それって、アンチウィルスソフトを入れておけばいい話ではないのかな?
江戸さん:それだけではダメかもしれないですよ。 例えばの話ですが、2~3年前から流行っているのがWindowsのもともとの機能を利用した攻撃で、プログラムファイルのウイルスと違ってアンチウィルスソフトでは検知しにくいんです。 もし教室のタブレットがそういう攻撃にあってしまい、その結果、情報漏えいやシステムダウンなんてことになったら、保護者からの信頼がガタ落ちですよ。授業の質以前の問題になってしまいます。
社長:ええ! それは一大事だ。 アンチウィルスソフトで防げない攻撃もあるのか! では、一体どうすればいいんだ…。
江戸さん:そういった攻撃に対して、効果的に対処できるのはEDRですね。もちろんアンチウィルスソフトは入れますが、EDRはそれでももし攻撃に遭ってしまったときにすぐに対処ができるシステムなんです。被害箇所をすぐに特定して、被害が広がらないように切り離してくれたり、原因を調査して可視化してくれるんですよ。タブレットが全校導入になったら管理が大変ですから、EDRも導入してインシデント対応の効率化を図ったほうがいいですね。
社長:そうか。そのEDRっていうのはスランプにはまった生徒を救うチューターみたいな存在なんだな。
江戸さん:そうですね。EDRはアンチウィルスソフトとの連携をして不審なふるまいを監視してくれたり、遠隔でコントロールもできて怪しいプログラムを停止させたりできます。端末数が多くても管理しやすいクラウドサービスもありますよ。
社長:よし、それだ。最新のセキュリティを導入して、最新の授業をやるぞ。
三段目 小学生向け
あたたかくなってきて(もはや「暑い」という気温ですが)夏が近づいてきました。この季節は、食中毒が心配な季節でもあります。皆さんは食事の前にきちんと手洗いをしていますか?
皆さんのお口に食中毒のウイルスが入らないように、食事を作る保護者の方や、給食センターの職員さん、レストランのコックさんはいつも衛生に気を使って、手洗いや消毒、食材選びをしています。ただ残念なことに、そこまでしても、思いもかけないルートで食中毒ウイルスはやってくることがあるのです。
このことは、コンピューターのセキュリティと似ています。インターネットを通じて、皆さんのパソコンやいろいろな会社のシステムにウイルスが忍び寄っているのです。「セキュリティ対策」「アンチウィルス」などは、皆さんも聞いたことがあるでしょう。パソコンをウイルス感染させないために、ネットワーク上での通信をチェックしたり、使うのは信頼できるプログラムだけに限定したりとさまざまな対策をしているのです。そしてここでも、ウイルスは思いもかけないルートでやってきます。
皆さんは食中毒にかかってしまったら、何をしますか?軽い症状だったとしても、家族や友達に移さないように気をつけなければいけませんね。重い症状だったら、医者にも行かずにただ治るのを待つのはつらいでしょう。つまり、手洗いをしっかりしたり洗濯物を分けたりして食中毒ウイルスをまき散らさないようにすること、そして、薬を飲んで体を休めて悪いウイルスを退治することが大事なのです。
では、もしコンピューターがウイルスに感染したらどうするのでしょうか。ここでEDRの登場です。EDRは、感染したことにすばやく気づいて、感染したコンピューターから他のコンピューターへウイルスが移らないようにしてくれます。そして、悪いウイルスを退治してくれるのです。EDRが無かったときは、感染を広げないようにするのも、ウイルスがどういう悪さをしているかを調べるのもとても時間がかかっていました。EDRはそうしたウイルス退治を助けてくれるシステムです。
もちろん、皆さんもコンピューターもウイルスには感染しないのが一番です。お医者さんの薬やEDRだけに頼るのではなく、普段からの感染予防をしっかりしましょう。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 星野 美緒】