EDRの運用は難しい？運用負荷を軽減できる「FortiEDR」とは

EDRを導入したものの、期待よりも効果を得られていないと感じたことはないでしょうか。EDRはサイバー攻撃が多様化する時代に合わせたセキュリティ対策として導入する価値はありますが、実は運用が煩雑で、セキュリティ担当者の負担が増えてしまうことがあります。アラートの過多や手動対応の手間といった課題を解決するためには、より高度な機能を備えたEDRを活用する、あるいは運用サービスを検討することが必要です。この記事では次世代のEDR製品についてご紹介します。

EDRの運用が難しい理由

EDR（Endpoint Detection and Response）とは、エンドポイントの操作や動作の監視を行い、サイバー攻撃を検知し対処するソフトウェアの総称です。エンドポイントがサイバー攻撃を受けることを前提に、攻撃の検知や状況の特定、除去まで初動対応をスムーズに行います。サイバー攻撃の調査は、その後のセキュリティ対策の改善にも役立てられます。 EDRについて詳しくは下記記事をご参照ください。

従来のEDR製品の多くは、検知は製品が担い、対処は人が実施するという運用になっているため、EDRをうまく活用できていないケースがあります。運用が困難になる理由は、主に以下が挙げられます。

運用負荷が高い

EDRの運用では、アラートが多くなりがちです。検知の設定が適切でないために誤検知が起こり、その対処が運用者の負担となってしまうのです。また脅威の検知のみで、隔離や駆除を行わないEDRもあります。この場合アラート内容の精査や対応は運用担当者が調査のうえ判断することから、さらに運用担当者の負担が増加します。

また、サイバー攻撃はいつ起こるかわからないために、監視には24時間365日の体制が必要です。ほかにもEDRの複雑な設定やアップデートなど作業が多岐にわたり、EDR運用担当者の負担が大きいことが運用を難しくしている根本的な原因です。

運用担当者が常にアラートに追われる状況では、検知の精査が十分に行えず、最も対処すべき脅威を見逃して企業に被害が及ぶ事態にもなりかねません。

専門知識をもつ人材が不足している

運用担当者の負荷が高いことにも関連して、EDR運用の専門知識をもつ人材の確保が難しいことも問題点のひとつです。アラートの精査ひとつとっても、その判断には専門知識と経験が必要です。IT業界全体でセキュリティ人材は不足しており、自社で人材を育成するにも、費用や時間がかかります。特に中小企業の場合にはSOCなどの専門組織をもつことに至らないケースも多いでしょう。

効果測定が難しい

運用負荷が高くなりがちであることから、EDRの導入効果を評価する定量的な指標を定めにくいという面もあります。そのうえ運用負荷でもマイナスポイントがあるために、サイバー攻撃を効率よく適切に防げているのか、製品評価が難しいのです。決め手がないために、今のEDR製品を継続して利用するのか、利用を停止するのか、それとも新しいサービスを組み合わせるのかといった判断も難しくなるでしょう。

運用負荷を軽減できる次世代のEDRとは

EDRの運用負荷を軽減し、サイバー攻撃への備えを強化するために、EDR製品はさまざまな方向へ進化しています。たとえば下記のような機能が挙げられます。

• AIによるリアルタイム検知で検知精度を向上
• エンドポイントやサーバー、ネットワークなど複数の要素から脅威を検出する「XDR（Extended Detection and Response）」
• EDR製品に加えて、専門家による24時間365日の監視体制を備える「MDR（Managed Detection and Response）」サービス
• クラウドベースの運用で担当者の負荷を低減
• サイバー攻撃を水際で阻止することに特化したEPP（Endpoint Protection Platform）とEDRの両方の機能を備える製品

など

Fortinet社（フォーティネット）が提供するEDR「FortiEDR」も、従来からあるEDRの課題を解決する製品のひとつです。

従来のEDR製品の課題を解決する「FortiEDR」

FortiEDRはEPPとEDRの両方の機能を備える製品です。高度な脅威検知機能をもち、過度なアラート通知を抑えつつ自動でインシデント対応が行えます。

高度な脅威検知機能

脅威ハンティングやAIによる振る舞い検知機能によって、脆弱性の検出や脆弱性を狙った攻撃、未知の脅威による攻撃をブロックできます。メモリ内に潜伏してウイルス対策ソフトを回避する「ファイルレスマルウェア」への対策も可能です。FortiEDRでは特許を取得しているコードトレース技術により、攻撃対象者側が気づきにくいカーネルモードでの攻撃を監視できます。

自動のインシデント対応

FortiEDRでは通信の不正な動きを検知すると、自動で脅威を無効化して修復することが可能です。これはプレイブックと呼ばれる、インシデントへの対応方法をまとめたセキュリティ設定を使用して行われます。プレイブックは、エンドポイントグループやインシデントの分類に応じてカスタマイズできるという柔軟性を備えており、設定次第で運用負荷を下げられます。

過剰なアラートの低減

プレイブックによって対応を自動化することで、アラートの精度を上げ過剰なアラートを抑制できます。アラートの低減と対処の自動化により、運用担当者が24時間365日監視する体制も不要になります。

社内のリソースや体制に応じて運用サービスを活用

FortiEDRは、従来のEDRよりも高度な機能があることから運用負荷の軽減につながります。それでも社内のリソースやサービスの形態などによっては、専門家が必要となるかもしれません。その場合には、運用サービスを活用するという方法を採れます。

運用サービス検討の例として、ＪＢサービスのSOCサービスを組み合わせてFortiEDRを導入されたホテルモントレ様の事例をご紹介します。

この事例では、24時間365日、土日祝日や夜間も対応するサービスを提供しているにもかかわらず、情報システム運用の体制は2名という状況でした。顧客の個人情報など機密性の高い情報を業務で取り扱うことから、セキュリティ対策強化のためにEDRを検討していましたが、運用負荷の面で難しいと考えていました。そこで、ＪＢサービスのSOCサービスをFortiEDRに組み合わせることで、運用負荷の大幅な軽減が実現したのです。FortiEDRの高度な脅威検知・ブロックによってセキュリティの水準を引き上げつつ、安定的な運用を行っています。

万が一セキュリティ事故が起こった場合は被害を最小限に抑えるよう、速やかに原因を特定しなければなりません。しかし運用担当者の人数が少ないと、迅速な対処ができないでしょう。運用サービスに土日や夜間対応を任せれば、大幅な運用負荷軽減を図れるとともに、専門家支援のもとで効率的な運用が可能となります。

まとめ

EDRの課題と解決方法をご紹介しました。近年のEDRはアラートの精度を上げて不要なアラートを抑制したり、運用サービスを包括して人材不足の解消を図ったりと、かつてのEDRがもつ課題を解決するサービスとなっています。EDRを効果的に運用するにはまず、運用上の課題がどこにあるのかを見極めることが重要です。

ＪＢサービスの運用サポート（SOCサービス）では、FortiEDRのライセンスを1台からご契約可能で、Fortinet製品に関して知識・経験豊富なエンジニアがセキュリティ運用をサポートします。FortiEDRの導入を検討されている場合はＪＢサービスにご相談ください。

関連サービス

FortiEDR運用サービス

FortiEDR運用サービスは、お客様に代わり認定ホワイトハッカーを中心としたセキュリティ専門家チームが、日々のセキュリティ運用や検知ログの調査を実施します。ＪＢサービスでは、Fortinet製品に関して知識・経験豊富なエンジニアがセキュリティ運用をサポートします。

詳しく »