ここから本文
マネージドEDRサービス
2021年12月
目次
クラウドサービスの利用拡大やリモートワークの普及、サイバー攻撃の高度化によって、現代の企業にはより堅牢なセキュリティ対策が求められています。三菱電機インフォメーションネットワーク株式会社(MIND)が提供する「マネージドEDRサービス」は、高性能なEDR製品と24時間体制の監視、専門アナリストによる調査などを提供。攻撃者の侵入を早期に発見し、被害を最小限に抑えるための支援を行います。
三菱電機インフォメーションネットワーク株式会社 セキュリティ事業部 セキュリティ第一部 サービス企画課長 御前 仁志 氏(左)
三菱電機インフォメーションネットワーク株式会社 セキュリティ事業部 セキュリティ第一部 サービス企画課 高田 直樹 氏(中)
三菱電機インフォメーションネットワーク株式会社 セキュリティ事業部 NSプロジェクト兼務 セキュリティ第一部 SOC一課 村松 孝俊 氏(右)
MINDの「マネージドEDRサービス」は、高性能なEDR製品とその運用に不可欠である人間による24時間365日の監視、さらに専門のアナリストによる影響調査などのサポートを提供するサービスです。
EDR(Endpoint Detection and Response)は、世界中の企業・団体で導入が進んでいるセキュリティソリューションです。”エンドポイント”とはPCやサーバーなどネットワーク上の末端に位置するデバイスやシステムを指します。エンドポイントにインストールされたEDRエージェントは、エンドポイントの動作状況を専用のクラウドサーバーにリアルタイムに記録していきます。クラウドサーバーではこのログを分析することで端末の異常な動きを検出しアラートを発します。MINDのSOC(Security Operation Center)はこのアラート情報を24時間365日監視しており、アラートの内容に応じて顧客への通知、端末の隔離、影響調査、復旧へのアドバイスなどを行います。
セキュリティ事業部 セキュリティ第一部 サービス企画課長の御前仁志氏は本サービスを開発した背景を次のように語ります。
「MINDはこれまでグループ会社向けにEDRの運用を実施してきました。近年、グループ外のお客様においてもエンドポイントセキュリティのニーズが高まっていることから、この運用で蓄積されたノウハウを活かしたサービスの提供を開始しました」
エンドポイントセキュリティの重要性が高まった要因についてセキュリティ事業部 セキュリティ第一部 サービス企画課 高田直樹氏は次のように解説します。
「ひとつにはクラウドサービスの普及や在宅勤務をはじめとする働き方の多様化が挙げられます。従来はネットワークの境界で外部からの侵入を防いでいましたが、クラウド利用やテレワークの増加とともに、境界の外にあるエンドポイントをきちんと守る対策が必要になりました。ふたつ目はサイバー攻撃の高度化です。近年の標的型攻撃は極めて巧妙になっており、従来のように単純に侵入を防ぐ対策だけでは防御が難しくなっています。実際に日本でも多くの企業がサイバー攻撃を受け、多額の損失を被る事例が出ています」
これまでのエンドポイントのセキュリティ対策には主にアンチウイルス製品(EPP:Endpoint Protection Platform)が使われてきました。セキュリティ事業部 セキュリティ第一部 SOC一課の村松孝俊氏は、今の高度化したサイバー攻撃に対してはEPPによる防御だけでは不十分だと語ります。
「アンチウイルス製品は、基本的に既知のマルウエアのパターンにマッチしたものを検出する仕組みです。新しいマルウエアが次々と登場し、攻撃が複雑化した今日では、EPPだけで防ぐのは難しいといえます」
EDRはエンドポイントの挙動を常に監視し、不審な動きを検知します。このためEPPでは見つからない未知の脅威も見つけることが可能です。EPPが侵入を防ぐ対策であるのに対し、EDRは侵入されることを前提として、早期に侵入を発見し被害を最小限に留めることが目的です。
「EDRの導入でEPPが不要になるわけではありません。EPPも既知の脅威に対する防御効果は十分にあります。しかし、EPPの防御をすり抜けてくる脅威がどうしても出てきます。侵入を許した時に対応するためにEDRが必要となります。当社のマネージドEDRサービスでは次世代EPPとEDRの組み合わせでご提供しています」(御前氏)
EDRの重要な機能にエンドポイントの動作の記録があります。前述のようにEDRはエンドポイントの状態をリアルタイムにクラウドに記録していきます。この記録はマルウエアの侵入を検知するためだけでなく、侵入経路や影響範囲を特定したり、復旧の方法などを検討するうえでも有用な情報となります。最近のマルウエアには自らの痕跡を消去するものが多いため、EDRによる外部への記録は極めて重要です。
高田氏はシステムによる検知に加えて人が分析、判断することがEDRの重要なポイントだと語ります。
「EDRでは端末の挙動を監視して怪しい動きがあればアラートを出します。そして受け取ったアラートの内容をもとに分析、判断して対応策を決めます。EDRはシステムが単純に検知、ブロックするのではなく、システムとセキュリティアナリストの両方で脅威に対処します。脅威を素早く検知するのはシステムが得意とするところです。発生した状況に対する適切な対処には人による分析と判断が必要です」
また、システムによる検知には誤検知が伴います。アラートを受け取ってからそれが本当に危険な状態であるかどうかをMINDのセキュリティアナリストがログを見て分析します。
このようにEDRの有効活用には人の力が欠かせません。マネージドEDRサービスを利用することで、顧客は少ない運用負荷でシステムのセキュリティレベルを高めることが可能になります。
MINDのマネージドEDRサービスでは、2021年 GARTNER MAGIC QUADRANT FOR ENDPOINT PROTECTION PLATFORMS (EPP) にて、リーダーに選出されているクラウドストライク社の製品を採用しています。また、MINDでは国内の大手セキュリティソリューション企業である株式会社ラックと協業し、ラックが持つ高度なセキュリティ調査技術と知見を組み合わせることで、より高度な課題への対応を可能にしています。
MINDのマネージドEDRサービスの強みについて村松氏は顧客に寄り添うサポートと総合的な対応力を挙げました。
「マネージドEDRサービスはEDRエージェントとSOC機能の提供となりますので、脅威に対する具体的なアクションはお客様のCSIRT(Computer Security Incident Response Team)などで行っていただくことになります。ただ現実にはアラートを受け取っても適切な対応が分からない場合もあると思います。その際には私どもから推奨する対応などのアドバイスを行います。これまでの経験や実績を活かしてCSIRTに寄り添えるSOCでありたいと考えています。また、MINDはインフラやネットワークなど幅広いソリューションがあり、例えば物理的なセキュリティもご提供可能です。エンドポイントだけでなく全社的なセキュリティニーズにお応えできるのが当社の強みです」
また、EDRは今注目されているゼロトラストセキュリティに不可欠なソリューションのひとつでもあります。
「マネージドEDRサービスは、今後のゼロトラストソリューションの提供を見据えたサービスのスタートだと考えています。今後はEDRに加えて、ゼロトラストに向けた様々なサービスをラインナップしていきたいと考えています」(御前氏)
マネージドEDRサービスの概要
