EDR選定の際に確認すべき10のポイント
サイバー攻撃は、より頻繁で巧妙になっており、またEDRソリューションが中堅企業にとって導入しやすいツールになっていため、包括的なエンドポイントセキュリティソリューション構築のため、EDRソリューション導入のニーズが高まっています。多くのサイバーセキュリティベンダーが、EDRとEPPを組み合わせた手頃な価格のソリューションを提供しているため、EDRはもはや大企業だけのソリューションではなくなりました。
この記事では、EDRソリューションを導入する際に確認すべき、最も重要な10のポイントを解説します。これらのポイントは、この種のソリューションを初めて導入する場合にも、また定期的にベンチマークやリニューアルプロセスを実行する場合にも適用することができます。
1. 導入済みのセキュリティプラットフォームとの統合
どんな EDR ソリューションを検討する場合であっても、それが導入済みのセキュリティシステムとの互換性を確認することが重要です。EDRを導入することで、IT/セキュリティチームのワークロードが軽減され、チームの効率を向上させるだけでなく、効果的に機能させるためには、攻撃を軽減するためのアクションを追跡、管理、実行する他のセキュリティシステムとの統合が必要です。
特に、SIEM(セキュリティ情報イベント管理)システムのようなツールを既に使用している場合は、SEIMシステムにデータをシームレスに供給することができるよう、API統合のできるEDRソリューションを探すのが最善策です。
2. エージェント型とエージェントレス型を比較
EDR ソリューションのエージェントは、すべてのエンドポイントにインストールされるソフトウェアコンポーネントです。EDR ソリューションは、ネットワーク上にパッシブにインストールすることもできるため、厳密に言うとエージェントのインストールは必須ではありませんが、エージェントレス型の場合はエージェント型に比べて、機能が制限されます。エンドポイントにエージェントを直接インストールすることで、ユーザの活動イベントに関するより多くのデータを取り込むことができます。またエージェントは、エンドポイントが侵害された場合に、より強力に介入することが可能です。
エージェントレス型の EDRソリューションの主なメリットは、導入が迅速にできる点と、エージェントのインストールが困難なエンドポイントの監視に使用できることです。しかし、エージェントがエンドポイントに直接インストールされていないため、ソリューションの対応はさほど強固ではなく、データ収集能力も弱いことが難点です。
3. 動作環境 - 対応OS
これは、エージェントをインストールできないエンドポイントに関する話に関連しています。インストールできない理由の 1 つとして、エンドポイントで使用されている OS が EDR ソリューションに対応していないケースがあります。導入するエンドポイントの状況を確認し、EDR ソリューションを選択ください。
しかし、ほとんどのEDRソリューションにはサポートしていない OS があります。EDRプロバイダがサポートしていないOSを使用しているエンドポイントがネットワーク内にある場合は、エージェントレスEDRが良い解決策になります。
4. 動作環境 - サポート外のデバイス
対応 OS と同様に、EDR ソリューションによってはサポートされていないデバイスがあります。iOS や Android OS を搭載したスマートフォンのほとんどは EDR ツールのサポート対象外であり、IoT デバイスも対象外となる可能性が高いです。OS と同じように、ベンダーに何が対象外なのかを尋ね、該当するエンドポイントの数を確認ください。
5. クラウドのサポート
EDR ソリューションがクラウド環境をサポートしているかどうか、またどの程度サポートしているかを知ることは重要です。いくつかのEDRツールがクラウドベースであるにもかかわらず、クラウドでの運用ができない可能性があります。
エンタープライズ向けの EDR 市場の 60 % は、既にクラウドベースのソリューションとして提供されています (Gartner社: Innovation Insight for Cloud Endpoint Protection Platforms、2019年4月) が、EDRはクラウドへのインストールが困難な場合が多く、特定のクラウドアプリケーションに対して追加の保護が必要な場合もあります。
6. システムのアップデート
脅威ランドスケープは常に変化しており、攻撃者は新しい戦術、技術、手順 (TTP)を駆使してセキュリティシステムを侵害しようとしています。したがって、脅威への対応を強化するためには、IoC(Indicators of Compromise)の更新を頻繁に行うEDRソリューションが必要です。
さらに、これらのアップデートの管理とインストールに、ITセキュリティチームの時間を必要とするのか、また、それらをどの程度まで自動化できるかを検討ください。
7. 拡張性
82% の組織が、IT/ネットワークセキュリティのニーズに応えるオールインワン型のソリューションを熱望しています。(エフセキュア 2020年 B2B市場調査)現時点では不可能かもしれませんが、将来的に新しいコンポーネントや機能を追加するために、EDRシステムがどのようなオプションを提供しているのかをベンダーに問い合わせると良いでしょう。
さらに、将来的にリモートデバイスの数が増えてトラフィックが増加した場合に、そのソリューションがどのように対処するかについても考慮する必要があります。
8. パフォーマンスへの影響
エンドポイントにエージェントをインストールする必要がある EDR ソリューションを導入する場合は、そのエージェントが専有するリソースを確認してください。
EDRソリューションの適正なCPU使用率は約 1 % ですが、それを定期的に超えている場合は、最適化されていない可能性があります。メモリ使用量は、エージェントの大きさによって異なりますが、本来 50 MBを超えることはありません。ベンダーは、あなたのシステムと同様のシステムのパフォーマンスデータを示してくれるはずです。
9. カスタマイズした脅威検知モデル
社内の専門知識に応じて、独自の脅威検知モデルを設計したり、少なくともプリセットされたモデルを微調整することもできます。EDR ベンダーは、プリセットされたモデルは最高のパフォーマンスを得られるように最適化されていると言うでしょうが、すべての組織は異なっており、あらゆる状況に最適化されたデフォルトの機械学習アルゴリズムなどは存在しません。
10. ベンダーのサポート
これはまさに信頼に起因することですが、注意すべき特定の指標があります。EDRソリューションが侵害された場合はどうなりますか?ベンダーはそのインシデント対応サービスに対して課金しますか? ここでは明らかに利益が相反する可能性があります。
提供されるサポートレベルと、アカウントマネージャの専門知識のレベルを事前に確認ください。マネージドサービスプロバイダーを利用している場合、そのプロバイダーは他ベンダーのサポートレベルを相対的に評価できる立場にあることが多いのですが、契約に関して彼らの側にもインセンティブが働くことを念頭に置いてください。最終的には、双方の信頼関係が最も重要な要素となります。
この記事が、組織にとって最適なEDRソリューションを探す際の参考になれば幸いです。また、最終的にどのEDRソリューションを選択する場合でも、自社のニーズに合わせてカスタマイズできることが大切です。
WithSecure™のEDRソリューションのソリューションを実際の環境でお試しになりたい場合は、WithSecure™ Elements EDRの30日間の無料トライアルにお申し込みください。