目次
開く
昨今、サイバー攻撃が高度化・巧妙化してきており、それに伴い数多くの領域で様々なセキュリティソリューションが提供されています。
一方、それを導入する企業の環境も複雑になってきており、多層防御の視点で「ソリューションの最適な組み合わせ」を摸索する一方、運用面では「複雑さを回避する検討」が難しくなってきているのではないでしょうか。
セキュリティにかける予算も潤沢にあるわけではありません。
今回は、サイバーセキュリティ予算を鑑み、対策全般のバランスと運用負荷を考慮されエンドポイントソリューションを選択された事例をご紹介します。
エンドポイントソリューションの種類(EPP、EDR)
EPPとは
EPP(Endpoint Protection Platform)は、マルウェア感染を防止することに特化したソリューションです。
組織内に侵入したマルウェアを検知し、自動的に駆除したり、マルウェアが実行されないように隔離する機能を提供します。
これに分類される例としては、アンチウイルス製品やNGAV(Next Generation Anti-Virus)が挙げられます。
アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、日々新しく生み出される未知のマルウェアに対応していくことに限界があり、近年では深層学習・機械学習などAIや振る舞い解析などの技術を用いたNGAVにより未知・亜種のマルウェアにも対応できるように進化しています。
特に、深層学習型AIはファイルレスマルウェア、マクロ型マルウェアにも対応し、かなり強力な検知機能を実現しています。
ただし、どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。
そこで、感染後の不審な挙動や攻撃にも対応するのがEDRソリューションです。
EDRとは
EDR(Endpoint Detection and Response)は、マルウェアの感染防止が目的のEPPとは異なり、マルウェア感染後の対応を支援するソリューションです。
EDR製品では、マルウェア感染後、攻撃あるいは攻撃と思しき挙動を検知しアラートとして通知し、合わせて原因となっているファイルの存在など、対処法を示唆する情報も提供します。
アラート検知後に自動でマルウェア隔離する機能なども実装されてきております。
しかし、多くの場合、感染したマルウェアの対応は人手で対応しなければならず膨大な工数がかかりますし、対応には専門知識も必要となります。
そのため、SOCサービスとセットで導入されるのが一般的となっています。
![securityreport#11_1](https://www.iim.co.jp/hs-fs/hubfs/IIM/%E3%83%96%E3%83%AD%E3%82%B0/Security%20Report/%E3%83%96%E3%83%AD%E3%82%B0%E5%86%85%E7%94%BB%E5%83%8F/2024/202402/EPP%E3%83%BBEDR%20%E3%81%AE%E5%BD%B9%E5%89%B2%E3%81%AE%E9%81%95%E3%81%84_%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%E3%81%AA%E3%81%97.png?width=1000&name=EPP%E3%83%BBEDR%20%E3%81%AE%E5%BD%B9%E5%89%B2%E3%81%AE%E9%81%95%E3%81%84_%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%E3%81%AA%E3%81%97.png)
![securityreport#11_1](https://www.iim.co.jp/hs-fs/hubfs/IIM/%E3%83%96%E3%83%AD%E3%82%B0/Security%20Report/%E3%83%96%E3%83%AD%E3%82%B0%E5%86%85%E7%94%BB%E5%83%8F/2024/202402/EPP%E3%83%BBEDR%20%E3%81%AE%E5%BD%B9%E5%89%B2%E3%81%AE%E9%81%95%E3%81%84_%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%E3%81%AA%E3%81%97.png?width=1000&name=EPP%E3%83%BBEDR%20%E3%81%AE%E5%BD%B9%E5%89%B2%E3%81%AE%E9%81%95%E3%81%84_%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%E3%81%AA%E3%81%97.png)
EPP・EDR の役割の違い:インフルエンザ予防
事例のご紹介
お客様の環境において、「重要な位置づけのPC/サーバー」を基準にソリューションをご選択されました。
![securityreport#11_2](https://www.iim.co.jp/hs-fs/hubfs/IIM/%E3%83%96%E3%83%AD%E3%82%B0/Security%20Report/%E3%83%96%E3%83%AD%E3%82%B0%E5%86%85%E7%94%BB%E5%83%8F/2024/202402/%E4%BA%8B%E4%BE%8B%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B-1.png?width=1000&name=%E4%BA%8B%E4%BE%8B%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B-1.png)
![securityreport#11_2](https://www.iim.co.jp/hs-fs/hubfs/IIM/%E3%83%96%E3%83%AD%E3%82%B0/Security%20Report/%E3%83%96%E3%83%AD%E3%82%B0%E5%86%85%E7%94%BB%E5%83%8F/2024/202402/%E4%BA%8B%E4%BE%8B%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B-1.png?width=1000&name=%E4%BA%8B%E4%BE%8B%E3%81%AE%E3%81%94%E7%B4%B9%E4%BB%8B-1.png)
重要な位置づけに併せたソリューションの選択
一般PC:
業務上メール送受信やWEB閲覧が多いため防御機能を重視。
メールに記載されているURLや、添付ファイルクリックにより感染するファイルレスやマクロ型マルウェアの防御もできるソリューションを選択。
重要な位置づけのPC/サーバー:
重要なデータを保全するため、AIによる一律自動防御でなく、攻撃につながる可能性のあるひとつひとつの挙動の詳細を検知し、対応の可否を決定できることを重視。
多層防御の視点では、EPP、EDR両方を導入することが、セキュリティ強化のためにはベストですが、限られた予算内で全体最適を考えられた事例です。
今後は、感染の進行と広がりを抑止するラテラルムーブメントの可視化(SIEM)、感染したとしても甚大な被害とならないための特権ID管理のご検討を予定されております。
弊社は、強みの異なる2種類のエンドポイントソリューションを取り扱っております。
-
アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な 「CylanceGUARD(サイランスガード)」
-
各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」
ご関心がございましたら、お気軽に弊社の担当営業へお声がけください。
![](https://www.iim.co.jp/hubfs/IIM/%E3%83%96%E3%83%AD%E3%82%B0/%E5%9F%B7%E7%AD%86%E8%80%85/1.png)
執筆者
Y.H.
営業技術本部 MP統括部
IIM入社後一貫してLANSCOPE、LogRevi、Cylanceなどの「内部情報漏洩対策」および「サイバー攻撃対策」の提案に従事。EDR、NDR、SIEM、SOC、インシデントレスポンスサービスもラインナップに加えセキュリティオペレーションも担当。
関連記事
-
#16 エージェトレスでOT資産、レガシー資産を可視化
2024.07.04
#情報漏洩対策
#セキュリティ
#ランサムウェア対策
#OTセキュリティ
#可視化
#統合SOC
グローバルへのビジネス展開が当たり前となった今、IT資産のみならずOT資産をも可視化し、防御対策をとることが必要だという認識が高まっています。 OT資産を持つ企業が抱える課題(デバイスの可視化、ランサムウェア対策における体制と対応)を挙げ、弊社がお客様へご支援できることをご紹介いたします。
-
#15 今こそバックアップ環境の棚卸が必要
2024.06.06
#情報漏洩対策
#セキュリティ
#ランサムウェア対策
#バックアップ
#ID管理
ランサムウェアによる被害や、地震や火事などの災害への対策には、バックアップ環境の棚卸だけでなく、リカバリープランの策定まで準備することが大切です。 弊社ではバックアップの棚卸から、サイロ化によって管理が分散化している環境整理や、最適なバックアップ取得方法、リカバリープランの提案までお手伝いいたします。
-
#14 お客様の課題を解決する弊社ソリューション
2024.05.09
#情報漏洩対策
#セキュリティ
#ランサムウェア対策
#ID管理
サイバー攻撃の急増がIT化戦略を進める上での大きなリスクとなり、経営課題として対策に取り組む企業が増えている昨今、多くのお客様で課題とされている「特権IDの管理強化」に対し、弊社ソリューションがお役立ちできることをご紹介いたします。
関連資料