企業様のIT環境は様変わりし、エンドポイントセキュリティにも大きな変化がでてきました。

現在エンドポイントセキュリティの主軸となりつつあるEDR（Endpoint Detection and Response）も中小企業にも導入が進んできました。

こちらのブログでは大企業とは異なる中小企業向けの要件と、中小企業ならではのEDR選定ポイントを解説致します。

　

現在のIT環境と脅威動向

現在アフターコロナの状況下で各企業様のIT環境はリモートワークやデバイスの多様化、クラウドサービスの積極利用などによりクラウドネイティブなIT環境に様変わりしております。

その影響でUTMやFWに代表される従来のネットワーク境界防御は消失し、アクセス元、アクセス先の多様化によってデータが点在する形になっております。

この様なIT環境の変化から攻撃対象領域(アタックサーフェス)が拡大し、攻撃者有利な状況の中、企業のセキュリティ担当者は利便性を損なわない形でセキュリティ対策の実施に翻弄してます。

　

時代に合わせゼロトラストが普及

では、セキュリティ担当者が現在どの様な対策を行なっているか、真っ先に思い浮かぶのは"ゼロトラスト"では無いでしょうか。

"ゼロトラスト"とはいかなる環境（場所）でも安全であることを定義するための概念的なアプローチですが、具体的な対策として、

• ネットワーク対策＝SASEやSSE

　　　→いかなるネットワークを利用しても安全な通信を提供できる

• エンドポイント・デバイス対策＝EDR

　　　→端末のプロセスを常時監視することで危険をすぐに察知できる

と大きく２つの対策が挙げられるかと思います。

　

どちらも今後のセキュリティ対策において導入することが推奨される製品ですが、どちらの方が優先順位が高いのかという質問を多く受けます。優先順位だけで考えると攻撃経路であるSASEより実際に攻撃を受ける対象を保護するエンドポイント対策が最重要と考えます。

　

EDR市場は成熟期

EDR は依然としてサイバーセキュリティにとって主力のテクノロジーとなり、エンドポイントベースでセキュリティ脅威を検出、阻止するための業界標準です。

大企業では概ね採用済みの製品となりますが、2025年末までに、中小企業の80% が、MDRサービスまたはEDRを導入するという試算も出ております。

　

　

　

なぜ中小企業でセキュリティ対策が求められる？

ランサムウェアの拡大やEPP、NGAVなどの防御ソリューションだけで守れなくなったなど、様々な要因がありますが、一番の要因は大企業や海外企業などとのビジネス継続の為、セキュリティ強化が必要になった事です。

昨今多発するサプライチェーン攻撃では、犯罪者側がセキュリティが強固な大企業を直接狙うよりセキュリティの甘い中小企業を攻撃し、そこから取引のある大企業をに侵入すると言った事が起きてます。

さらには特許技術や独自の強みを持つ中小企業がグローバル企業と直接取引をするケースにおいては、海外企業からも一定水準のセキュリティ対策をしていることが契約の条件となることも起因しております。

また、様々な機関から発行されているセキュリティガイドラインや、中小企業の 情報セキュリティ対策 ガイドラインにもEDR相当の文言がある為、中小企業でもEDRの導入が進められております。

　

中小企業におけるEDR導入の課題

中小企業におけるEDR導入の課題は大企業の課題とは大きく異なります。

代表的な課題としては導入コストとセキュリティ運用の課題となります。

　

EDR導入の弊害

既存のアンチウイルスやEPP、NGAVに防御対策にEDRを追加導入すると２重運用・２重コストになってしまいます。

• それぞれの製品でアラート処理

　　　→防御製品と検出と対応の製品が別のメーカー製品の場合、それぞれ予算取りも必要になり、コストも２重になります。またそれぞれの製品でそれぞれアラートが上がる為、２重でアラートの対応が必要なばかりか、それぞれが同じ事象のアラートなのか、別の事故のものなのかなど、人のスキルによる判断が必要になります。

• EPPでブロックした場合にEDRの分析能力低下

　　　→EPP/NGAVとEDRは別製品でも同居できる事がほとんどですが、連携の実態の多くがお互いに除外設定（お互いを信じる）という設定による連携になりますので、ログやアラートが相関されるものではありません。

その為、例えば防御製品で攻撃の初段階のエクスプロイトをブロックした事がEDRに知らされず、攻撃の初段階の原因が抜け落ちたログの分析によってEDRの検出レーティングが下がる（アラートの重要度が下がる）為、EDR製品の機能低下につながります。

　

導入コスト、運用コストの削減方法

防御と検知対応機能を統合化する事でコスト削減を実施

　→防御機能とEDRを統合する事で一つのコンソールで防御と分析および対応のアラート処理が統合され、別ベンダーでそれぞれの製品を導入していた時の様な、防御と分析/対応 間の人的な相関分析が不要になります。これにより運用コストを大幅に削減可能です。

さらに、防御製品とEDR製品を別々に予算取りしていた企業も、エンドポイント対策の予算をひとまとめにできる為、導入コストやランニングコストの削減も見込めます。

　

SMBにおけるEDR選定ポイント

SMB市場におけるEDR選定は能力値が高いものを前提として、運用面が重要視される傾向にあります。

　①防御と検知の性能

　　→EDRの検出性能およびその製品に付帯する防御製品の性能が最重要

　②NGAVとEDR機能の統合

　　→現在、アラート運用の観点やコスト削減、セキュリティ上の問題（脆弱なポイントを作らない）という観点から防御製品とEDR製品の統合は重要な要件

　③セキュリティ運用を考慮

　　→自社のセキュリティ運用にあった製品を選定するか、外部の中小企業向けプライス設定のMDR（EDR専用のSOC）を採用してセキュリティ運用を外部委託するのかなど、製品選定において運用面を考慮する必要がある

　

まとめ

いかがでしたでしょうか。

中小企業向けにEDR導入が進む中、安価なEDR製品や既存で導入済みのAV製品のEDRオプションなどを選ばれるケースもありますが、EDRとしての機能を果たせなければ最終的には高い買い物になってしまいます。

中小企業のEDR導入は目先の導入価格にとらわれず、EDRの性能を重視し役割を果たせる製品を選定する事と防御とEDRを統合し、導入と運用コストを削減し、セキュリティリスクを低減する事が最低条件となっております。

ぜひ今回の情報も参考にして頂きながら中小企業向けのEDR導入を検討頂ければ幸いです。