SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【コラム】EDRは本当に必要なのか。運用できるだろうか。

セキュリティ
2022.09.05

❏EDRって必要なの?

こんにちは。西日本にてセキュリティ案件の技術支援をさせて頂いている橋本です。EDRソリューションのプロダクトがここ数年で増え、皆様も耳にする機会が増えたのではないでしょうか。

しかし「取引のある会社などからおススメされるのだが、現在導入しているアンチウィルスソフト(EPP)で特に問題ないのだが必要?」「価格も高いイメージがあるし、アンチウィルスソフト(EPP)と違いがあるのかな?」と思われている方は少なくないと思います。

今日はなぜ、今、EDRが必要なのか。というところから考えてみたいと思います。

以前の記事にも記載がありますように今までのアンチウィルスソフトというのは、ウィルスが侵入されないように防御することが主の動作でした。
しかし、度々世間で報道されているようにウィルスの侵入に関しては、完璧に防ぐことは難しく感染、侵入されて被害が出るならまだしも、ひっそりと情報だけ取得されているなどという事もありえなくはありません。

MicrosoftTeams-image (6).png

そういった、侵入、感染後のケアとして 感染の発見や、ウィルスの検出、その後の隔離や防御、感染した端末の特定や分析 感染端末や全体の復旧 まで補うのがEDR製品の特長となります。

MicrosoftTeams-image (5).png


最近、EDRは自治体のセキュリティ要件などにも組み込まれているようなので、既存製品であるEPP(End Point Protection)からEDRへデファクトスタンダードが変わりつつあると言っても過言ではありません。

❏導入するとして展開は?

EDRを導入するとして、最初に考えられるのはエンドポイントへのセンサーインストールだと思われます。
Cybereason , Carbon Black, Sophos 3社のEDR製品について確認してみましたが端末毎にExeファイルを実行させる手動での展開、もしくはADやSCCM、コマンドラインや、スクリプトを使ってのインストールに対応しており展開方法については従来の方法と大差はなく、特別な配慮は必要は無さそうです。

❏導入後の管理方法は?

導入後の管理方法として、最近ではローカルサーバーでは無く、クラウドのサーバーで管理するのが一般的です。こちらも前記の3製品についても例外ではなく、クラウド管理となります。
さらにすべての製品が海外製品ですが、管理画面は日本語となっており、管理しやすい印象です。

MicrosoftTeams-image (5).png

MicrosoftTeams-image (6).png

11.PNG

❏ウィルス感染したときは?

ウィルス感染した際は、管理者が対応することになるのですが、「セキュリティ担当の専任者が居ない。」
「全体の管理を任されているが、セキュリティについては詳しくない。」など大企業のようにセキュリティの担当者がいる場合などを除けば、そんなに詳しい方は多くないかと思われます。

12.PNG

メーカーもそのあたりは把握しており、こういった何かあった場合に対応が必要になる製品の特性上
プロフェッショナルな対応をしてもらえるサービスを提供していることが多いようです。
販売パートナーなどの独自サービスもあるようなので、購入時に確認してみることをおススメします。

❏Cybereason MDR Service
https://www.cybereason.co.jp/products/mdr-service/

❏Cybereason MDR CORE Service(中小企業向け)
https://www.cybereason.co.jp/products/core-suite/

❏Sophos MTR
https://www.sophos.com/ja-jp/products/managed-threat-response

❏EDR検討してみても?

導入や運用などの不安要素についても概ねクリアーされている製品も揃ってきていることから
既存アンチウィルスソフトのライセンス更新などのタイミングでEDRの検討をしてみても良いのではないでしょうか。
特に、これからのセキュリティを考える上でエンドポイントのセキュリティ強化は必須となります。
製品についても各社特徴があり、価格も様々、サポートも多様性を見せており
現在EDR市場については、より取り見取りとなっております。
より信頼のおけるベンダーなどを弊社を通して確認しつつ検討してみては如何でしょうか。


C&Sでは多くのEDRベンダーの調査・検証・比較をSEの視点から積極的に行っております。
是非ご活用頂ければ幸いです。

❏参照リンク

❏Cybereason 
https://www.cybereason.co.jp/faq/
 ・手動インストール
 ・ADサーバーのグループポリシーで配布
 ・SCCMなどのアプリケーション配布サーバで配布
 ・その他、サードパーティーの資産管理サーバなどを利用して配布

❏Carbon Black
https://docs.vmware.com/jp/VMware-Carbon-Black-Cloud/services/cbc-sensor-installation-guide.pdf
https://licensecounter.jp/engineer-voice/blog/articles/20210415_carbon_black_cloud_endpoint.html
 ・センサーをエンドポイントにインストールするユーザーを招待する
 ・コマンド ラインまたはソフトウェア配布ツールを使用してエンドポイントにセンサーをインストールする

❏Sophos
https://support.sophos.com/support/s/article/KB-000034831?language=ja
 ・手動インストール
 ・スクリプトによるインストール

資料ダウンロード

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 1課
橋本 紗代子

関西の湖畔で動物たちと暮らしています。