こんにちは。社内システム管理者の皆さん、日々の業務お疲れ様です。
前回の記事では、会社のネットワークの玄関口を守る「UTM(統合脅威管理)」についてお話ししました。「ルーターだけでは泥棒が通り放題なので、玄関に警備員(UTM)を置きましょう」というお話でした。
「よし、UTMを入れたからもう安心だ!」
そう思われた方、申し訳ありません。実は、現代のサイバー攻撃はそれだけでは防ぎきれないケースが増えているのです。今回は、玄関の警備員をすり抜けて室内に入り込んでしまった「泥棒」をどうやって捕まえるか?というお話、『EDR』について解説します。
なぜ「玄関の警備員(UTM)」だけでは足りないのか?
UTMは非常に優秀ですが、万能ではありません。以下のようなケースでは、玄関の警備員をスルーして侵入を許してしまいます。
暗号化された通信:
泥棒が「中身の見えない箱(暗号化ファイル)」を持って入ってきた場合、警備員も中身を確認できずに通してしまうことがあります。
USBメモリからの感染:
そもそも玄関を通らず、社員が持ち込んだUSBメモリから直接パソコンにウイルスが入るケースです。(窓からの侵入のようなものです)
テレワーク中の感染:
会社の外(自宅やカフェ)でパソコンを使っている時は、会社のUTM(玄関)を通っていないため無防備です。
つまり、「侵入を防ぐ(UTM)」だけでなく、「侵入された後にどう気付いて対処するか」が重要になってくるのです。
従来のウイルス対策ソフトと「EDR」は何が違う?
「パソコンにはウイルス対策ソフトを入れているから大丈夫でしょ?」
そう思うかもしれませんが、ここにも落とし穴があります。
これをまた「防犯」で例えてみましょう。
従来のウイルス対策ソフト(EPP)
役割: 「指名手配犯リスト」との照合
仕組み:
過去に見つかっているウイルスのリスト(定義ファイル)を持っています。「こいつはリストに載っている犯人だ!」と分かれば捕まえられます。
弱点:
リストに載っていない「新種の犯人(未知のウイルス)」が変装して入ってくると、一般市民だと思ってスルーしてしまいます。
今回おすすめする「EDR」
役割: 「監視カメラ」と「行動分析」
仕組み:
EDRは、パソコン内部での「挙動(ふるまい)」をずっと監視しています。
「普段使わない夜中に大量のファイルを勝手に書き換えている(ランサムウェアの疑い)」
「いきなり外部の怪しいサーバーと通信を始めた」
といった「不審な動き」を検知して、即座にそのパソコンをネットワークから隔離(ロック)します。
強み:
犯人の顔(ウイルス名)を知らなくても、「やっていること」がおかしければ止めることができます。
中小企業にこそEDRが必要な理由
「そんな高度なシステム、うちは大企業じゃないし…」と思われるかもしれませんが、実は人手の足りない中小企業のシステム管理者にこそ、EDRは強力な味方になります。
- 被害の拡大を自動で防ぐ
もしウイルスに感染した場合、社内システム管理者が異変に気付いてパソコンのLANケーブルを抜きに行く頃には、手遅れ(全社のデータが暗号化される等)になっていることがほとんどです。EDRなら、不審な動きを検知した瞬間に自動でネットワークから遮断してくれるため、被害を最小限に抑えられます。 - テレワーク環境も守れる
EDRはパソコン自体にインストールするエージェント型のソフトです。会社の中にいようが、出張先のホテルにいようが、同じレベルでパソコンを監視し続けてくれます。
導入への第一歩
セキュリティ対策は「多層防御」が基本です。
UTMで、玄関での侵入を防ぐ。
従来のソフト(EPP)で、既知のウイルスを駆除する。
EDRで、すり抜けた未知の脅威を検知・隔離する。
この3段構えが、今の時代の標準になりつつあります。
最近では、従来のウイルス対策ソフトにEDR機能が統合された製品や、運用をプロにお任せできる「運用監視サービス付き(マネージド)EDR」も増えています。
「今のウイルスソフトの更新時期」が来たら、ぜひ一度「EDR機能付き」への乗り換えを検討してみてください。