多くの企業がEDR利用に課題を抱える理由とは？

　「社内ネットワークへの脅威侵入の阻止」を狙いとする従来からの境界型セキュリティ対策はもはや限界を迎えている。新たな対策の1つが、脅威の侵入を前提にエンドポイントを常時監視して脅威をいち早く検知し、速やかな対応で被害極小化を目指すEDR（Endpoint Detection and Response）だ。

　EDRツールは機能面での成熟も進んでいる。「この領域はベンダー間の競争が激化しています。それを追い風に、脅威の『検出』から『分析』、被害を食い止めに向けた『封じ込め』、エンドポイントの『修復』までのEDR機能はどのツールも高い水準に達しています」と解説するのは、ガートナー シニア プリンシパル アナリストの鈴木弘之氏だ。


　ただし、EDR利用に課題を抱えている企業は現状、少なくないという。ガートナーが2023年2月に実施した調査でも、「問題の解析に時間がかかる」（32.0％）、「導入効果が明確でなく、有効性を説明することができない」（31.3％）、「問題を解析できるエンジニアが社内にいない／育成できない」（26.5％）、「設定が難しくチューニングできない」（19.3％）などが課題として挙げられている。

　それらの根本原因として鈴木氏が挙げるのが、他社の動向に影響されることなどでの「ツール導入が目的化してしまいがちなこと」だ。結果、「EDRをどう運用するか」の視点の抜け落ちたまま導入され、自社運用であれアウトソースであれ、大量のアラートに振り回される状況に陥るケースの多さを鈴木氏は嘆く。

導入の目的が決まれば目標も自然に定まる

　EDRでは検出したセキュリティ上の問題の痕跡を捉え、一連の攻撃の流れを可視化して、いち早い対応を実現する。その実践においては攻撃プロセスに関する少なからぬ知見が必要となるが、問題を抱える企業ではスキル不足などから対応が問題の事後調査にとどまり、せっかくのツールの能力を引き出せていないという。

　打開に向け鈴木氏が必要性を訴えたのが、機能面での課題がない中で活用度を左右することになる「戦略・戦術」の策定と「人材の能力の向上」だ。そのうち、前者のためにまず進めるべきなのが、EDR導入の狙いの再確認だという。

「EDR導入の本来的な目的はマルウェア被害の抑止や、問題の原因究明を通じた再発の防止などです。その再確認を通じて、自社にとってのEDRの目的を明確化します。目的が決まれば、目標も自然に定まります」（鈴木氏）

　目標の分かりやすい例が、EPP（Endpoint Protection Platform）をすり抜けた脅威の検出／分析数やアラートの検出数など、ダッシュボードで確認できる各種の定量的な数値であり、現状を基に、それらをどの程度にまで持って行くのかを検討する。「目標が設けられていないのなら、今すぐにでも設定すべき」と鈴木氏は力を込める。

　セキュリティ対策はシステム対応に加え、添付ファイルの不用意な開封を食い止める社員へのセキュリティ意識教育も伴う全社的な活動だ。そのための全社的なセキュリティ教育を実施するところも多いが、掲げた目標の数値的な達成度の公表は危機意識の醸成、さらにEDRの効果の社内広報にも大いに役立つという。

　一方で、後者の能力の向上では担当者のトレーニングとともに、次の2つがポイントになるという。まずは当然ながら、ランサムウェアの攻撃フローの理解だ。 【次ページ】深い知識がなくても気づきが得られるEDRのドリルダウン分析