中小企業における失敗しないEDR・XDRの選び方

MALUTO広報室です。
本日のコンテンツでは、多くの企業で導入が進む「EDR」の重要性と、今後検討必須となる「XDR」という統合管理ツールについて、どのように導入を検討すべきかについてお届けしていきます。

「実際にEDRを導入してみたけど、思った通りの検知ができていない・・・。専門的な知識が必要で扱いきれない。」など、製品選びによってはEDRの本来の機能を十分にいかせない場合があります。そのためにも、EDR製品の適切な選択と、その先の「XDR」（＝統合管理ツール）を見越した選択をしていくことが重要です。

これからEDRを導入したい、EDRを導入したけど今のままで良いのか不安に感じられている方は特に必見です。

WatchGuard EPDR
セキュリティ対策としてもはや不可欠とされるEDR（Endpoint Detective ＆ Response）ですが、導入はしたものの適切に運用できない、といったケースも見られます。特にIT人材に限りのある中小企業では、運用のハードルが高いのも事実です。では、中小企業がEDRを導入する際は、どういったポイントに注意すればよいのでしょうか？

そこで今回は、UTMを中心としたセキュリティ製品を展開し、EPP・EDRも扱うWatchGuard社のシステムエンジニア部 プリセールスエンジニア 相賀太郎氏にインタビューを行い、EDR導入に失敗しないための選び方から、EDRの先の対策まで、お話を伺いました。

今回お話を伺った方

ウォッチガード・テクノロジー・ジャパン
システムエンジニア部 プリセールスエンジニア
相賀 太郎氏

やはりセキュリティ強化は必須

―― EDRが注目を集めていますが、中小企業ではどうしても「なんだか大変そうだ」と腰が引けてしまうところがあると思います。そもそもですが、やはりEDRは導入しなければならないのでしょうか？

相賀氏：中小企業は情報システム部門が、システムからセキュリティまですべてを担当しているケースが多く、しかも情報システム部門も少数精鋭であり、セキュリティにしっかり人員を充てられないことが多いです。それもあり、アンチウイルス製品（EPP）までしか導入していない企業も少なくありません。これまではそれでも対処できていましたが、近年、メモリ上にコマンドを送り付け、実行後に姿を消すようなファイルレス攻撃も登場し、もはやEPPでは対策しきれなくなっています。

さらには、ユーザ名やパスワードなどのログイン情報が闇サイトで売買され、それを購入した攻撃者が正規ユーザとして堂々とログインしてくることもあり、これらもEPPでは対策できません。まずは、EDRの導入、そのほか認証強化としてMFA（多要素認証・Multi-Factor Authentication）も検討したいところです。

―― 攻撃が進化し、その手法が多様化しているのは分かるのですが、中小企業もターゲットになるのでしょうか？

相賀氏：「オポチュニスト」と呼ばれるのですが、ランダムに攻撃を仕掛け、どこかで成功すればよい、という考えで攻撃する人たちがいます。脆弱性を狙った攻撃でも、特定の企業を狙うのではなく、該当プログラムの有無を一斉に検索し、偶然見つけた企業に侵入します。彼らにとっては、最終的にランサムウェアを仕掛けて身代金を要求できればよく、中小企業だから狙われないということではなく、どのような企業もターゲットになります。そして、こういった攻撃はEDRで挙動を監視しなければ発見することができません。

―― ここ数年は標的型攻撃への注意喚起が多いように感じましたが、以前からある不特定多数を狙った攻撃がなくなったわけではないのですね。

EDR選びの基準は「運用をどうするか」

―― 中小企業もEDRなどの対策は不可欠だとして、製品選定の際にはなにに注意すべきでしょうか？

相賀氏：EDRはマルウェアなどの侵入を前提に、「どういう経路で侵入されたか」を発見するための仕組みです。そのために、EDR製品は大量のログを取得しており、そのなかから「攻撃に関連するログ」を追跡することになります。もちろん攻撃に関係ないログが大半を占めるなかで、攻撃のログを見つけ出すには一定のスキルが必要です。EDRを導入してデータを集めても、ナレッジのある人材がいないときちんと運用できません。そのため、製品導入時に気を付けるポイントとしてまずは「運用に負担がかからないこと」が挙げられるでしょう。自社の人材やスキルで、運用できる製品を選ぶ、ということですね。

最近は、EDRの運用まで含めて提供する「マネージドサービス」も増えています。こういったサービスを導入するのもひとつの方法ですが、当然その分コストがかかるため、どうバランスを取るかがポイントになります。

検出後のアクションまで自動実行するWatchGuardのEPDR

―― WatchGuardのEDR製品の特長やメリットについて伺えますか？

相賀氏：一般的にはEPPとEDRは別々の製品として提供されますが、WatchGuardは両方の機能をもつ「EPDR」として提供します。収集したログを分析し、攻撃を検出、さらに駆除やブロックなどのアクション（対処）まで自動で実施することが特長です。

―― ツール側でそこまでできれば、運用の負担はかなり軽減できそうです。なぜそこまでの機能を提供できているのでしょうか？

相賀氏：WatchGuard EPDRは、もとをたどると30年以上の歴史をもつ製品で、ヨーロッパ・北米・オーストラリアなど世界各国で活用されてきました。PCにインストールされたエージェントがセンサーとなり、攻撃パターンを収集、クラウド上のデータレイクに蓄積し、脅威ハンティングをおこない、その結果をエージェントにフィードバックするというサイクルを繰り返すことで、攻撃への対応力を鍛えあげてきました。

さらに、クラウドに蓄積したデータを機械学習で分析する仕組みも整えており、これらをベースとすることで、「検出した脅威に対してどうアクションすべきか」まで導き、自動化することができます。
WatchGuard EPDRは脅威ハンティングまで含めて提供しており、追加費用も一切かかりません。費用面でも運用面でも、導入のハードルを下げられる製品だと思います。

世界各国で30年以上蓄積してきたデータを元に作られたWatchGuardのXDR

―― セキュリティ対策としてEDRの先にはXDRなどもありますが、WatchGuardのXDRはどのようなものですか？

相賀氏：大前提として、セキュリティは多層防御が基本です。しかし、複数のソリューションで個別に対応していくと、それぞれ管理コンソールも異なり、運用が煩雑ですし、データを重複して取得していることも少なくありません。XDRはこういった複数のソリューションを一元管理することで、効率的に攻撃から保護できる、という考え方がベースにあり、その多くは、各ソリューションと連携してエコシステムのような形でこの考え方を実現しています。

WatchGuardはネットワークやエンドポイントのセキュリティを手がけており、それを1ヶ所で管理をできる仕組みを作ってきました。自社なりに製品を進化させてきたら、いつの間にかそこに「XDR」という名前がついていた、と言いますか……。

―― WatchGuard製品にまとめてXDRを実現できるとなると、データの重複も最小限にできそうですし、メリットが多いように感じます。

相賀氏： 「複数ソリューションで同じログを取っている」といったことはかなり減らせると思います。また、WatchGuardでは「WatchGuard Cloud」というXDRを提供するクラウド基盤を用意しており、WatchGuard製品を導入いただけば、追加費用なしでご利用いただけます。

繰り返しになりますが、多層防御の重要性は今も変わりません。エンドポイントのセキュリティとしてEDRを導入すれば、ネットワークはなにもしなくてよいかというと、そういうではなく、両方守る必要があります。WatchGuardは幅広い領域をカバーしていますし、WatchGuard製品でそろえていけば自然とXDRが整うようになっています。

WatchGuard Solutionイメージ

セキュリティの運用サポートで、安心・安全を届けるMALUTO

―― コムネットシステムが提供するネットワーク機器のサブスクリプションサービス「MALUTO」でも、最初はWatchGuard社のUTMを提供し、続いてオプションでWatchGuard EPDRを提供するようになりました。まさにWatchGuard社の製品展開を追いかけ、「いつのまにかXDRを実現していた」形です。

相賀氏：セキュリティソリューションは導入のハードルが高いため、導入して満足してしまいがちです。もちろん、セキュリティベンダーとして、導入するだけで一定の対策を担保できるべきだとは考えていますが、導入したまま何年もそのままなにもしなくていいかというと、そうはいきません。ファームウェアのアップデートやハードウェアのメンテナンス・見直しなどの運用は不可欠で、ここが難しいところだと考えています。

そして多くの企業にとって、セキュリティ運用は本業ではなく、中小企業ではセキュリティ専任のチームもありません。そうなったら、社内のセキュリティはプロにお任せするのが理想的ですし、MALUTOのように常に見てくれるサービスは有効ではないでしょうか。

―― MALUTOではWatchGuard CloudのThreatSyncという機能を用いて、複数社の情報を管理していますが、リスクレベルが高いものが検出されると一目で分かります。最近もかなりレベルの高い脅威が検出されましたが、すぐにどの企業のどの端末で、どのような操作がおこなわれたかが分かり、該当する端末の利用者にすぐ問い合わせ、状況を把握できました。

相賀氏：ThreatSyncは全機能の情報をサマリーして表示するもので、セキュリティのサービスプロバイダにとっての使いやすさを意識し、効率的に攻撃から保護できます。「レベル7以上の脅威を検出」など条件を付けて、メール通知する設定もあり、少数精鋭でも高品質なマネージドサービスの提供を可能にする仕組みになっています。

―― WatchGuard社のこういった機能により「テクノロジーレバレッジ」が効くことで、お客様により安全・安心をお届けできると感じています。本日はありがとうございました。