Sophos Intercept X
EDR導入の現状と課題|SOCの必要性について徹底解説!
昨今、標的型攻撃やランサムウェアなどによる被害が増え始め、侵入されることが当たり前の時代となったことで、多くの企業が*EDR導入に動き始めました。しかしEDRの導入・運用がうまくいかないことでお悩みの方は多いのではないでしょうか。本記事では、EDR導入の現状・課題について解説し、解決策をご提案します。
※EDR(Endpoint Detection and Response)・・・エンドポイントでの検出と対応
Contents
1.EDR導入の現状
EDRとはEndpoint Detection and Responseの略で、エンドポイントでマルウェアの不正な挙動を検知し、感染した後の対応を迅速に行うことを目的とした製品です。
移りゆくエンドポイントでのセキュリティ対策
従来の境界型セキュリティでは、社内は安全という考えのもと、セキュリティの境界はネットワーク内にありました。そのため、情報資産は社内ネットワーク内で利用するといったことが一般的でしたが、外部から侵入されたときに対策・対応ができないという課題がありました。
サイバー攻撃の多様化や高度化によって、侵入されることが当たり前の時代となったことで、社内外からのアクセスをすべて信用できないものとして防御する「ゼロトラストセキュリティ」という考え方が普及しました。
つまり、サイバー攻撃の被害に合うことを想定し、侵入後の対策を講じる時代に突入していると言えます。
侵入後の対策として、企業はEDRを導入することで、マルウェア侵入後の被害を最小限に抑えたり、未然に防ぐことが可能となりました。
EDR導入を希望している企業は93%、一方でEDRを活用できていない企業が54%
Sophos委託の独立調査会社が調査したデータによると、
EDR導入後、企業の大半がEDR製品を最大限に活用できていないという結果が出ました。
調査データの詳細は以下の通りです。
①EDRを導入・検討している企業の割合
・セキュリティ強化にEDR導入を希望 93%
・EDRを導入予定 90%
・EDRを6ヶ月以内に導入予定 61%
※市場規模を問わず、EDR導入・検討に対してのニーズはすべての企業で同じです。
②活用の現状割合
・EDR製品を最大限に活用できていない企業の割合 54%
上記2つのデータから、EDRを導入・検討している企業の割合は非常に高いですが、実際にEDRを導入している企業の大半がEDR製品を最大限に活用できていないことが分かります。
※引用元:7つの気になる真実-エンドポイントセキュリティ|Sophos
https://www.sophos.com/ja-jp/medialibrary/Gated-Assets/white-papers/sophos-seven-uncomfortable-truths-about-endpoint-security-wpna.pdf
2.EDR導入後の課題
EDR導入ニーズが高まり、多くの企業が導入・検討を進めている中、導入後の課題も浮き彫りになってきております。
主な課題としては2つ挙げられます。
①思ったより運用が難しかった
EDRには、アラート対応の際の運用が難しいという課題があります。
アラートが誤検知なのか重要なインシデントなのかを見極めることが非常に難しく、適切にアラートに対応するには高度な専門知識が必要です。攻撃を検知してからできるだけ早く攻撃への有効な対策を取る必要があり、時間との戦いです。
EDRのスムーズな運用を実現するには、攻撃に対する高い専門知識と技術力が必要になります。
②運用体制が整っていなかった
EDRでセキュリティを強化するためには、1日のインシデント数・アラート数が多くなります。これらを処理するために、IT管理者は膨大な時間を費やすことになり、他の業務に支障をきたす可能性が大きくなります。
さらにいつ攻撃されてもおかしくないことを想定し、対策を講じる時代に突入していることから、EDR導入後は24時間365日の体制が必要になります。
上記2つの理由から、EDRを最大限に活用するためには高度な専門知識・技術力が必要であり、24時間365日の運用体制を整える必要があります。
3.EDR導入・運用の成功には 「SOC」 が必須
EDR導入・運用の課題はSOCで解決できます。
SOCとはSecurity Operation Centerの略で、高度な専門知識・技術を持ったセキュリティチームのことです。EDRの運用業務をシステム管理者の代わりに行います。
実際にSOCが行っているEDRの運用業務は、5つです。
1. ログの確認
2. ログの解析
3. 脅威検出
4. 原因・影響範囲の調査
5. 対応・復旧
そして、SOCは自社で構築するか、アウトソーシングするか、活用方法は2分されます。
SOCについてさらに詳しく知りたい方はこちらの記事をご覧ください。
【関連記事】 SOCとは?~EDR導入・運用を成功に導く~
https://wwws.products.nsd.co.jp/service/sophos/list/?id=6632
4.まとめ
サイバー攻撃は100%防御できないという考え方が普及したことで、侵入後対策としてEDRが注目されるようになりました。しかし、EDR導入後には高い専門知識と技術や24時間365日の運用体制が必要であるという課題が浮き彫りとなり、その課題を解決するために、「SOC」を活用することが不可欠となりました。
EDRの導入・運用にお悩みの方や、これから本格的にEDRを導入したい方にはSophos製品がオススメです。
SophosはAV・NGAVの機能はもちろんのこと、
EDR機能~SOC(アウトソーシング)までオールインワンで提供できる体制となっております。
ぜひお気軽にご相談下さい。
Sophosのライセンスについて詳しく知りたい方はこちらをご覧ください。