「対策はEPPだけ」はもう終わりたい！EDR・XDRまで負担なく入れる方法

MALUTO広報室です。
本日のコンテンツでは、近年セキュリティ対策において注目を浴びている「EDR」と「XDR」について、その現状と両者を実際に使用する現場でのリアルな声をお届けしていきます。

「マルウェア対策ソフトは入れてみたけど、それだけで良いのか不安・・・。増加するセキュリティリスクへの対策と迫り来る運用負担への対応が間に合ってない。」そんなお悩みをMALUTOでまるっと解消しませんか？

人的・費用面でもなるべく負担の少ないセキュリティ運用を検討されている方は特に必見です。

数年前から、「マルウェアは進化を続けており、EPP（Endpoint Protection Platform）だけではすべての攻撃を防げない」と当たり前のように言われるようになり、同時に次の対策としてEDR（Endpoint Detective ＆ Response）が注目を集めています。

しかし、EDRは運用の負担が大きく、EPPだけで対策している状況を脱したいと思っても、なかなか導入に踏み切れない企業も多いのではないでしょうか？中小企業におけるセキュリティ対策の現状から、どうすれば「今やるべき対策」を実現できるのか、現実的な解決策まで、MALUTOエンジニア（以下MEと表記）に伺いました。

EDRの導入を検討する企業が増加

―― 「EPPだけでは対策として不十分」とよく聞かれるようになりましたが、実際どうなのでしょうか？

ME：「マルウェアの攻撃にどう対策するか」は企業にとって常に大きな課題です。これまではEPPとしてアンチウイルス製品などを入れることが主流でしたが、現状のマルウェアへの対策として、それだけでは不安が残ります。

IPAが発表する「情報セキュリティ10大脅威 2023（組織）」でも、1位の「ランサムウェアによる被害」をはじめ、「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」「テレワーク等のニューノーマルな働き方を狙った攻撃」など複数の項目においてマルウェアが関連しており、対策強化は急務と言えます。

―― そのなかで、次の手はやはり「EDR」になるのでしょうか？

ME：総務省が提示する自治体向けのセキュリティガイドラインなどにも、EDR導入が記載されたこともあり、EPPの次の対策として、具体的にEDRを検討している企業が増えていると感じます。ランサムウェア感染による業務停止など、大きなニュースになったこともありますし、実際に知り合いの企業が被害に遭ったとご相談いただくことが増えています。また最近では、サプライチェーンを狙った攻撃が目立っており、取引先から契約継続の要件としてEDR導入を提示され、検討しているというケースも聞かれます。

EPPとEDRの違い、さらに求められる「NDR」「XDR」とは？

―― やはりこれからはEDRも必須、ということですね。

ME：「パターンマッチング」や異常な挙動を検知する「ヒューリスティック方式」で、マルウェアを事前に検知して侵入を防ぐ「EPP」と、感染してしまった後の挙動などを検知して、被害を最小限に抑えるための「EDR」は、今後はどちらも欠かせないものと言えます。

EDRはマルウェアなどの不審な挙動を検知する点にフォーカスされがちですが、例えば、「従業員が許可されていないソフトをインストールしている」なども検知して、ブロックできます。こういったことはルールで決めていても運用を徹底するのが難しく、ツールで制御するのもひとつの方法です。ソフトウェアのインストールからマルウェア感染につながることもありますし、「管理者が一度確認してからインストールを許可する」とステップを踏むことで、マルウェア対策にもつながります。

―― そういった使い方もできるのですね。

ME：はい。ただ、EPPに加えてEDRまで入れたからそれでOK、というわけにはいきません。さらにその先として、社内ネットワークに不審な通信がないかを監視するNDR（Network Detective ＆ Response）も必要とされています。また、EPP・EDR・NDRとバラバラに監視・管理するのではなく、情報を関連付けて分析し、統合的に管理する「XDR」まで導入できると現状としてはベストと言えるでしょう。
また、XDRを使用することで、万が一脅威にさらされてしまった場合でも、いち早く検知し、脅威の全体を網羅して原因の特定まで迅速に行われることから、被害を最小限に抑えることも可能です。

EDR・XDR導入は「運用」と「予算」が課題

―― XDRまで導入するのがベストとはいえ、そこまでは難しいという企業も多いのではないでしょうか？

ME：そもそもEDR自体、不審な挙動を検知するところまでを担うため、別途、脅威に適切に対処する必要があり、その運用が課題とされていました。最近では、運用まで含めたマネージドサービスとして提供する「MDR（Managed Detection & Response）」も増え、こういったサービスを利用すれば運用の負担を下げることができます。ただ、MDRはそれなりのコストがかかるため、特に中小企業ではその点がネックになります。

MDRを導入しないのであれば、社内で対応することになり、担当者個人がスキルアップするしかありません。しかし、中小企業は「総務担当がITもまとめて見ている」ケースも多く、セキュリティのアラートに適切に対応できるところまでスキルアップするのはあまり現実的ではないでしょう。社内にスキルがある人がおらず、予算もない、EDRを入れたとしても運用できないと悩む企業も多いようです。

XDRを導入すれば管理を効率化できますが、どちらにせよアラートの内容を理解できなければ、対処できません。やはり同様に運用と予算が課題になります。

低コストで、負担なく、XDRまで導入する「MALUTO」

―― なかなかハードルが高いように思いますが、これらの課題を解決する方法はあるのでしょうか？

ME：EPPの次はまずはEDRを入れて……と段階的に導入しようと考える企業が多く見られますが、一気にXDRまで導入することをお勧めします。コムネットシステムで提供するネットワーク機器のサブスクサービス「MALUTO」では、WatchGuard社の製品を扱っており、高いコストをかけることなく、無理のない運用でXDRまで実現して、セキュリティを強化できます。

WatchGuard社は、セキュリティは「大企業だからやらなくてはいけない、中小企業だからやらなくていい」というものではなく、すべての企業がやるものだと考え、エンタープライズクラスのセキュリティを中小企業に適切な価格で提供するというコンセプトを掲げています。弊社では、このコンセプトに賛同しており、どのお客様にとっても平等でかつ快適で使いやすい製品を提供すべく、MALUTOではWatchGuard社の製品を取り扱っています。

―― 具体的にどのように使えるのでしょうか？

ME：WatchGuardは、EPPとEDRが一緒になった「EPDR」という製品を提供しています。また、これらEPDRとFireboxをクラウドベースで統合管理するセキュリティプラットフォームである「WatchGuard Cloud」には「ThreatSync」というXDRに相当する機能があり、EPDRやファイアウォールなど複数の情報が1画面に集約して表示されます。危険度が1～10までにレベルづけされており、どれくらい危険なのかも一目で分かりますし、エンジニアとして他製品も見てきましたが、ほかと比べてもなにが起きているのかが直感的に分かって圧倒的に使いやすいと感じています。

実際、展示会などで「EDRを検討している」というお客様にはThreatSyncの画面もお見せして、ここにあがってくるアラートだけチェックすることで、負担なくセキュリティ運用できると案内していますが、「これなら自分たちでも運用できそうだ」とかなり好評です。

アラートへの対処もコムネットシステムがサポート

―― かなり運用の負担は減りそうですが、それでもアラートに対してどう対処するか分からないのではという不安は残ります

ME：そもそも、WatchGuardではEPPとEDRが連携しているため、悪意あるファイルなどが特定できれば、ファイルの駆除などの対処まで自動でおこないます。端末の隔離などもXDRの画面からワンクリックで実施でき、必要な対処を簡単にできるようになっています。さらに、Patch Managementというオプションを追加すれば、端末側のOSアップデートなども管理画面から設定できます。脆弱性など、OSバージョンアップで対処ということは多いですが、社員に任せてもすぐに対処してもらえるとは限りません。管理者側で一元管理できるのは便利だと思います。

また、MALUTOにご加入いただければ、アラートに関するお問い合わせにも対応しており、対処法のアドバイスなどもしています。

―― 対処法のアドバイスをもらえるのは安心ですね。

ME：社内のある端末からアラートが上がり続けている、通信自体はブロックされているものの、根本的な原因を突き止めるための調査をサポートする、といったこともあります。
WatchGuard Cloudでは、マネージドセキュリティサービスプロバイダー（MSSP）向けに、顧客のログを横断的に確認する機能が提供されており、コムネットシステムでも何十社とお客様の状況を定期的に確認していますが、これまで導入いただいたなかでは、セキュリティの危険度が高い脅威は検出されておらず、UTMやEPDRでしっかり脅威を防げているのではないかと思います。

今後は、これまで蓄積されてきたデータをベースに「最近こういうリスクが増えている」など全体的な傾向を踏まえた情報提供も、検討していきたいと考えています。
MALUTOは「低コストで、無理なく、ハイレベルのセキュリティ対策を実現する」サービスになっていますので、まずはお問い合わせいただければ幸いです。