ウィルスソフトはもう古い!? EDRで継続的に監視

EDRというサービスをご存知でしょうか?
会社の端末には、それぞれにアンチウィルスソフトを導入されていると思いますが、最近では、マルウェアが進化しており、1日に数百万個の新種が発生している状況です。セキュリティ企業が毎日アップデートをおこなって対応していますが、かなり厳しい状況がつづいています。
そこで登場したのが、EDRというサービスで、今までの「ウィルスの型がマッチしたものを検知」していくというものではなく、PCやスマートフォンが異常な動作をしたときに検知することで、ウィルスやハッキングをみつけていこうというものです。
個人情報や重要な情報が流出する事故が増えており、中小規模の事業所さまでもセキュリティ対策は万全にする必要があります。

Emotet「第3波」が襲来、一段と増した厄介さにどう対処するか

日経クロステック

わずか2カ月で世界的に勢力を広げつつある新ランサムウェア「Black Basta」

TECH+

新種ランサムウェア「Black Basta」の感染活動を分析、QAKBOTやContiとの関連性とは

トレンドマイクロ

EDRとは?

クライアントPCなど、エンドポイントにある各デバイスにエージェントを組み込み、デバイスを監視します。そして、エージェントから吸い上げた情報を検知サーバで集約し、常時監視します。
「エンドポイントシステムレベルの動作を記録および保存し、さまざまなデータ分析手法を使用して疑わしいシステム動作を検知し、コンテキスト情報を提供し、悪意のあるアクティビティをブロックし、影響を受けるシステムを復元するための対処提案を提供するソリューション」として定義されています。
つまり、常に監視して、ウィルス感染やハッキングなどの被害にあった場合、すぐに通知や対応をするというものです。

EDRと従来のアンチウィルスとの違いやメリットは?

      EDR            アンチウイルス
仕組みエンドポイントにある各デバイスにエージェントを組み込み、エージェントから吸い上げた情報を常時監視することで検知する。マルウェアにみられるデータのパターンをウイルス定義に登録し、コンピュータ上のファイルに同様のデータパターンがないか、コンピュータをスキャンして確認する。
強みウイルス定義が不要。検知するのは異常や不審な挙動であるため、未知の脅威であっても対応できる。ウイルス定義に登録済みの既知の脅威は、ほぼ確実に検出できる。
欠点サイバー攻撃を受けることを前提とした仕組みであるため、脅威の侵入は防げない。
脅威を検知した後の対応には、人手や別の仕組みが必要。		ウイルス定義に登録されていないマルウェアに対しては無力。

EDRは、従来のウィルス定義ファイルに基づいた検知での検出ではなく、AIなどを使い不審な動作や挙動から、通知を行うというものです。

すでに多くのセキュリティ企業からサービスが提供されていますが、いつくかご紹介しましょう。

1. crowdstrike(クラウドストライク)

CrowdStrike Falcon EnterpriseはCrowdStrike社が販売しているNGAV(次世代アンチウィルス)・EDRソフトウェアです。製品は構成としていくつかに分かれており、防御の範囲や防御手法によって製品構成を選ぶことができます。
CrowdStrike Falconは、次世代アンチウィルス(NGAV)、エンドポイントでの検知と対応(EDR)、24時間365日体制の専門家による脅威ハンティングサービスを一体化したソリューションです。

2. SentinelOne(センチネルワン)

株式会社TTMが提供しているアンチウイルスソフトとEDRを統合した、自律型のサイバーセキュリティプラットフォームです。AIを活用することで自動対応を可能とし、より早く、広範囲で、正確に脅威を阻止可能です。検知エンジンが、ランサムウェアやマルウェアなどの脅威に対応し、エンドポイントを保護します。在宅ワークなどテレワークが増えたこの時代に必要な、ゼロトラストセキュリティをSaaS型で提供します。

3.Apex One Endpoint Sensor

トレンドマイクロ株式会社が提供しているサービス。標的型サイバー攻撃の侵入原因、経路、影響範囲を可視化します。クライアントモジュールを用いて、エンドポイントの活動や通信イベントをカーネルレベルで記録します。テレワークなどに対応するため、社内のみならず社外のWindowsベースのサーバ、デスクトップ、ノートPCなど、システム全体の記録が可能です。セキュリティ担当者は、将来の攻撃に備えて修復を行い、防御プランを立てられます。

4.Cybereason EDR

サイバーリーズン・ジャパン株式会社が提供している、Windows、MacOS、Linuxすべてのタイプのエンドポイントに対応し、数万台のエンドポイント環境でもリアルタイムに監視できるもの。侵入した不審者の活動を常に監視し、クラウド上のAIエンジンが分析します。脅威検知後は攻撃内容の詳細を管理画面へ速やかに伝達されるため、セキュリティ担当者は迅速に対処可能です。

毎日、数百万個も発生する新種のマルウェアがあり、対応が難しくなっています。その脅威から守るためにはウィルスソフトだけでは心細く、流出事故が起こってからでは遅くなります。そういったことも考えると、より高いセキュリティサービスのEDRの導入も検討するときが迫っています。

当社では、30年間で培った豊富な知識で、ウィルスソフトやEDRだけではなく、さまざまなビジネスツールやオフィス環境のアドバイスやサービスのご案内をいたします。ご相談ください。