標的型サイバー攻撃の新しい対策として、エンドポイント(パソコン)のシステム上のふるまいを検知・記録する「EDR(Endpoint Detection and Response)」と呼ばれる分野の製品が登場しています。今回はこうしたエンドポイント解析によって、どのような具体的な効果が得られるのかを、みていきましょう。

EDRがもたらすのは二つの可視化

 EDRを利用したエンドポイント解析を行うと、二つの観点での可視化が実現できます。

 一つは、「被害端末の発見」です。URLやファイル名のようなキーワードまたはIOCファイルを利用し、各端末(エンドポイント)で記録したシステムログに対して検索を行うことで、不正プログラムや侵入の痕跡があるのは、社内のどの端末かをあぶり出せます(図1)。システム管理者は、EDR製品の管理ツールを使って、その結果を確認します。

図1●EDR製品の管理者用画面に表示された被害端末の調査結果。画面は「Trend Micro Endpoint Sensor(TMES)」の例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 例えば、ネットワーク監視ツールなどからC&CサーバーのURLが判明していれば、それをトリガーとして検索することで、どの端末がそのC&Cサーバーにアクセスしたことがあるかが判明します。不正プログラムのファイル名やファイルのハッシュ値があれば、それらの情報を使って、社内の端末内に潜んでいないかがチェックできます。

 既知のセキュリティインシデントについては、ベンダーがIOCファイルを提供するケースもあります。ただ、まだそう多くはないのが現状です。

 もう一つは、「侵入原因・侵入経路・被害の可視化」です。被害端末を特定し、その端末上で、どんなプログラムがどこから侵入し、どういった処理を実行し、どんな情報をどのような経路で外部に送信したか、一連の流れを追跡できます。不正プログラムがOS(Windows)をどう改ざんしたか、どのコマンドを実行したかなど、詳細な動きを把握できます。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら