EPPかEDRか? なぜ連携が必要なのか?

サイバー脅威に対して、EPP(予防)とEDR(検知と対応)のどちらが重要でしょうか?サイバー犯罪に関しては、「予防は時すでに遅し」という言葉をよく聞きます。攻撃者は、ターゲットとした企業には必ず侵入できるので、今はEDRに力を注ぐべきという意見です。  

確かにこの考え方には真実の部分もありますが、100%正しいというわけではありません。EPPにすべてを託す訳にはいきませんが、EPPの果たしている役割を無視することはできません。事実、侵害前の強力なEPPにより、EDRの効果を高めることができます。言い換えると、企業のEPPと脆弱性管理機能を強化することが、侵害を受けた後のプロセスの効率化に役立ちます。

標的型攻撃を迅速に検知

強力な予防対策は、コモディティ化したマルウェアからネットワークを安全に保つことができるため、組織は重大な脅威に注力することが可能になります。たとえば、優れたEPPは、ランサムウェアのように組織の時間と生産性を影響を与える大規模でコモディティ化された脅威や他のマルウェアなどの大多数の脅威からあなたの会社を保護します。これらの脅威から会社を守ることは、組織内の「セキュリティ衛生」を健全なレベルに維持することに貢献します。 

そこで、システム内で高度な攻撃が行われているとき、EPPの役割は医学治療に似ています。多くの病原菌で体のすべての組織が炎症を起こしている状態でなければ、病状の重い感染箇所を特定し、分離し、治療に専念することの方がはるかに簡単です。

当社顧客企業のシステム管理者は、EPPとEDRを組み合わせる享受できるメリットを次のように述べています。「当社では、WithSecure™ Business SuiteWithSecure™ Elements Endpoint Detection and Response (EDR) を併用することで、あらゆる形態のマルウェアやサイバー攻撃から完全に保護することができています。 これらを極めて短期間(それぞれ6分と9分)で導入後に、2つの侵害が検出されました。このことから、当社は最適なソリューションを採用したと確信しました。」

セキュリティホールを塞ぐ

脆弱性管理は早期予防における重要な事項です。アセット・ディスカバリーと脆弱性スキャンを備えた脆弱性管理ツールは、悪用される恐れのある重大な欠陥を特定し攻撃対象領域を最小限に抑えることができます。保護する必要がある資産とパッチを適用する必要がある脆弱性が特定されていれば、しかるべき対応を取ることができます。

システムを最新の状態に保つことで、日和見的攻撃がネットワークを混乱に陥れるのを防止します。また、より高度な攻撃からの防衛能力も高まります。さらに、既にネットワークに侵入している攻撃者が侵入拡大段階で脆弱性を利用する危険性がある場合にも、それを抑えることができます。

攻撃させて疲弊させる

高度なスキルを有した攻撃者はどんなことをしてでもネットワークに侵入しようとします。予防に力を注ぐことで、これらの攻撃者がネットワークに侵害することを少なからず難しくすることができます。攻撃者がより多くの努力を払わなければならない場合、彼らにとってコストが膨れ上がるので、それが抑止力につながります。

投資する価値がある

早期予防は、検出および対応プロセスを円滑にします。しかし、それだけでなく、実際にネットワークを保護する最も費用対効果の高い方法です。以下の図が示すように、攻撃が長く続くほどコストが積み上がります。初期段階での予防が失敗した場合は、できるだけ迅速に検出することで、コストを低く抑え効率を保ちます。

顧客の個人情報が大量に流出した、米信用情報機関大手のEquifax社では、攻撃者がシステムの中に30個以上のエントリポイント(英語)を個別に構築していました。 また、米国の全米消費者信用協会(NFCC)(英語)によれば調査した1,500社以上の企業が毎年データ侵害を経験しているとのことでした。これらの侵害は、企業およびデータ漏えいの被害を受けた顧客に大変な混乱をもたらしました。

継続的かつ統合的な活動を実践する

事前と事後の侵害対策を組み合わせる場合、これらの活動は継続的なプロセスであるべきことを忘れてはなりません。他社のプロセスと統合する必要もあります。たとえば、脆弱性管理はセキュリティ上の欠陥を修復するために頻繁に繰り返し実践されなければなりません。さらに、それは会社のリスク管理プロセスと結びつけるべきです。真に有効な脆弱性管理プログラムを実現するためには、在庫管理、パッチ管理、アプリケーションセキュリティ、およびリスク管理のプロセスを、すべて一定のレベルで統合することが求められます。

一般的に、企業が予防の重要性を認識した時にはすでに手遅れになっていることが多々あります。しかし、予防対策を伴う脆弱性管理と、強力な検出および対応機能を組み合わせれば、侵害を予防し検出するための最善の連携作業が可能になります。両者が一丸となることで、コストの急上昇を防ぎ、企業が本来やるべきこと、すなわちビジネスに集中できるようになります。

 

AV-COMPARATIVES の『エンドポイントの予防と対応テスト』で「戦略的リーダー」に選出

ウィズセキュアは、独立系大手テスト機関であるAV-Comparativesが実施している『エンドポイントの予防と対応 (EPR: Endpoint Prevention & Response)』レポートで、「戦略的リーダー」に選ばれました。

もっと詳しく

サイバーセキュリティ関連イベントのご案内

サイバーセキュリティについての最新の研究や考え方をご紹介するイベントのご案内です。ご登録のうえご参加ください。

もっと詳しく
Reading time: 5 min

    Published

  • 22/03/2022