最近はコロナ禍に対応した働き方…
エンドポイントセキュリティを中心に幅広い分野でマネージドサービスの立ち上げ・推進に従事。XDRスペシャリストとして企業のデジタル化に必要な新しいセキュリティの在り方を支援。また昨今では、ワークショップ“IIJ Sketch & Draw Workshop”を通じ、エバンジェリストとして、大手から中堅企業を中心に約50社以上にわたるセキュリティ戦略や投資、対策の見直しをサポート。
執筆・監修者ページ/掲載記事:5件
サイバー攻撃の進化に伴い、侵入を前提に考える対策の重要性が高まっています。その実現にはEDRが有効ですが、継続的なモニタリングと迅速な対応が求められるため、自社リソースで運用するのは大変な負担です。アナリストの知見も必要になるため、そもそも自社運用ができないところもあるでしょう。そこで注目されているのが「MDR」です。MDRとは一体どういうものか。どうすれば有効活用でき、効果を高めることができるのか。これらを紐解き、失敗しないMDRの活用法まで徹底解説します。
自社にピッタリなEDRの選び方とは?
> ガイドブックのダウンロード(無料)はこちらから
昨今のサイバー攻撃は手口が巧妙かつ高度化し、攻撃コードを難読化するものも増えています。侵入を100%水際で阻止することは難しいため、「侵入前提」の対策が重要になります。仮に組織内に脅威が侵入しても、早期に検知・対処することでエンドポイントへの感染を防ぎ、感染したとしても被害を最小限に食い止めることができます。
これを実現するのが「EDR(Endpoint Detection and Response)」です。しかし、導入したらあとはツールがすべてやってくれるわけではありません。EDRはユーザ側がツールを使いこなさなければなりません。
まず一般的なセキュリティ知識に加えて、最新のサイバー攻撃手法や脅威への対処方法など高度で専門的な知識が求められます。継続的なモニタリングも欠かせません。脅威の侵入に早く気づくためには、監視の目を常に光らせておく必要があるからです。
平時の運用管理負荷が低いように見えても、いざインシデント対応を進めようとするとツールが専門的すぎて使いこなせない。そんな意見も少なくありません。いつ発生するか分からないサイバー攻撃への対応は、24時間365日対応の監視・運用体制が必要となり、体制面においても限界を迎えることが多くあります。
高度なセキュリティ人材を配置し、24時間365日の運用体制も確立する。人的リソースが限られる企業では、この実現が難しいところもあるでしょう。この課題を解決するのが「MDR(Managed Detection and Response)」です。
MDRとはマネージド型のEDRのこと。専門スキルを持つセキュリティ人材を集めたSOC(Security Operation Center)にEDR運用を任せるアウトソーシングサービスです。これにより、高度なセキュリティ人材がいない組織でもEDRを活用でき、その運用管理からも解放されます。
IPA(情報処理推進機構)によると、国内では4万人ものセキュリティ人材が不足しています。人材の確保と育成が課題となる中、セキュリティ人材リソースを補填する目的でMDRの採用が進んでいます。
EDR運用に課題を抱えている組織や、そもそも人材がいない組織にとってMDRは非常に有効ですが、その選定には注意が必要です。というのもMDRには大きく分けて「フルマネージド型」と「セミマネージド型」の2つのサービスがあるからです。
フルマネージド型は、インシデント対応の初期プロセスを担うトータルサポートサービス。24時間365日のモニタリング、脅威の検知、どの様な対処が必要か判断するトリアージや事象の分析、一次的な対処に加え、ユーザと相談した上で、脅威の封じ込めに必要な技術対応までを実施します。高度な専門性を持つプロフェッショナルがサポートにあたり、サービスはその知見とノウハウに支えられています。
セミマネージド型はインシデント対応の一部を請け負うサービスで、対応の最終的な判断や責任はユーザ側に委ねられています。例えば、脅威の検知と通知、一次的な対処までは行うものの、その先の脅威の封じ込めや技術対応はユーザ側で行うという形です。その責任分界点はベンダーごとに様々です。
「相談・問い合わせをしても専門用語だらけの一般論で、何をすべきかが分からない」――。「結果としてインシデント対応クローズまで莫大な時間とコストを要した」――。そんな“不満”が後を絶ちません。自社内で運用体制を確立し、運用の負荷軽減を目的とする場合はセミマネージド型が有効ですが、サービス内容を吟味せずMDRという言葉に飛びつくと手痛い失敗をする恐れがあります。
強い責任感を持ってお客様の運用すべてを代行する。この形は高度な専門性を持つプロフェッショナルへ任せるフルマネージド型でこそ実現されます。「いざという時に何もしてくれなかった」とならないように、MDR選定は慎重に行う必要があります。
MDR選定に加え、もう1つ重要なポイントがあります。セキュリティ対策のバランスを考えることです。これを怠ると、思わぬ油断がリスクを招くことになります。その理由を解き明かす前に、今一度EDRの必要性を再確認しましょう。
※EDRについては「EDRとは? セキュリティの新潮流として注目されるEDRの仕組みと既存のアンチウイルスとの違い」の記事をご覧ください。
EDRはエンドポイントセキュリティの最後の砦となるツールです。クライアントPCで万が一マルウェアが実行されてしまっても、データ破壊や秘匿データの窃取がされる前に検知・対処することを目的としています。
これを現実世界のホームセキュリティに例えると、自宅の金庫に設置した盗難検知センサーのようなものです。侵入者によって金庫が勝手に開けられた場合は、アラームで知らせてくれます。MDRはこれに警備員駆け付けサービスが付随しているようなものです。
ですが、想像してみてください。金庫を守る前に、そもそも不審者の侵入に無防備でいいのでしょうか。侵入を許してしまうと、盗難検知センサーの電源を止めたり、センサー自体を外されたりしてしまうことも考えられます。ここで警備員を頼っても「異常はない。盗難検知センサーは反応していない」との回答になるでしょう。警備員を現場へ駆け付けさせても「現場に証拠はなく、何も分からなかった」となるでしょう。
その後、侵入者が金庫の前に居座り、暗証番号をいくつも試すことができる状態は健全と言えるのでしょうか。最悪の場合、金庫に別の鍵を掛けられて身代金を請求されるかもしれません。残念ながら、これはサイバーセキュリティの世界でランサムウェア攻撃として実際に発生しています。
MDR導入だけで安心してしまうと、意図せず油断してしまい、セキュリティ対策のバランスを崩すことがあるのです。いくら多重の対策を施していても、それらがバランスを取って連携していないと、対策は形骸化してしまいます。
では、どうやってセキュリティ対策のバランスを保てばいいのでしょうか。重要になるのが「中心」と「重心」を意識することです。
セキュリティ対策の中心になるのが、エンドポイントセキュリティです。しかし、MDRの導入で安心してしまい、重心までここに据えてしまうのは危険です。インシデントが発生した際に、あっという間にバランスを崩し、何も対処できなくなるリスクを抱えています。大切なことはバランスを突き崩されないようにセキュリティ対策の範囲を広げ、重心を違うところに据えておくことです。
先のホームセキュリティの例で言えば、金庫を守るだけでなく、部屋や出入口も監視し、有事の際に対処できるよう準備しておく。そうすれば、金庫で何か異常を見つけた場合、出入口を封鎖することができるでしょう。ドアや窓、通気口などの監視カメラ映像から侵入経路と侵入者の特定も可能になります。サイバーセキュリティの世界でも対策範囲を広げ、エンドポイントセキュリティ以外に重心を据えておくことが重要となります。
例えば、エンドポイントセキュリティのEDR、入口対策としてのファイアウォール、出口対策としてのWebゲートウェイの3点のログを束ねて、相関分析による可視化を実現するSOCを重心とすると良いでしょう。
これによってEDRでいち早く脅威を検知し、迅速に隔離する。次に入口対策のファイアウォールで不審な通信を調べ、攻撃者との通信を遮断する。出口対策のWebゲートウェイで攻撃者の制御サーバへの通信や新たなマルウェアの追加ダウンロードを阻止する。こうした対策が可能になります。更に外部との不審な通信を洗い出し、ファイアウォールで追加遮断することで、効果的な封じ込めを実現できます。
マネージド化の範囲が広がることでインフラ全体を可視化し、相関分析によって対応力をより強化することができるのです。そうすれば、ネットワークを含むIT環境全般のリスクの見える化が進み、包括的なセキュリティ対策「XDR(Extended Detection and Response)」の実現も可能になるでしょう。
サイバー攻撃はいつ迫ってくるかわからないため、事前準備が大切です。IIJはバランスを意識したセキュリティ強化を支援する多様なセキュリティサービスを提供しています。
例えば「IIJ C-SOCサービス」はファイアウォールなどのセキュリティ機器やお客様運用機器からセキュリティログの収集と分析を行い、24時間365日セキュリティインシデント対応をワンストップで提供します。
「IIJセキュアエンドポイントサービス」はクラウド型の統合エンドポイントセキュリティサービス。脆弱性管理に加え、外部脅威の防御・検知・隔離と流入経路の追跡が可能です。
「IIJセキュアWebゲートウェイサービス」はクラウド型のWebセキュリティサービス。URLフィルタリング、アンチウイルス、プロキシなどのセキュリティ機能を統合した多層防御を実現します。
これらを活用し、中心と重心を意識したバランスの取れたセキュリティ対策を実現できます。
セキュリティ対策のバランスの比重は、お客様のIT環境やビジネス環境、要望や優先度によって異なります。幅広いポートフォリオを持つIIJは、セキュリティ対策の「中心」と「重心」を意識した最適なセキュリティ対策の提案が可能です。
<よくあるご質問>
MDRとEDRの違いは何ですか?
MDRとはマネージド型のEDRのことです。専門スキルを持つセキュリティ人材を集めたSOCにEDR運用を任せるアウトソーシングサービスです。これにより、高度なセキュリティ人材がいない組織でもEDRを活用でき、その運用管理からも解放されます。詳しくはこちら
EDRサービス選定のポイントを教えてください。
選定のポイントは、セキュリティ対策コスト、機能面、運用面、発展性などが考えられます。何を重要視するかを見極めることで、自社にとって最適なEDRサービスを選定しましょう。詳しくはガイドブックをダウンロードしてご覧ください。