2024 年 12 月 17 日 Iratxe Vazquez 著

EDR (エンドポイント検知とレスポンス)

EDR は、組織のエンドポイントを保護します。その能力は、既知の攻撃を防ぐことにのみ特化した従来のウイルス対策ソリューションを凌駕しています。主な利点は、これまでのセキュリティ制御を回避してくる高度な脅威を検知してレスポンスができる点です。

主な特徴：

• 継続的な監視：エンドポイントを監視し、ゼロデイマルウェアやランサムウェア、ファイルレス攻撃を検知する。
• ふるまい検知：AI と MITRE の ATT&CK フレームワークを活用し、悪意のあるアプリケーションや手口を分類する。
• テレメトリログ：ウォッチガードのソリューションと同様、継続的な分析のためにデータを 1 年間保存する。

具体例：

エンドポイント上での異常な暗号化の試みを検知し、ランサムウェアが拡散する前に隔離を行う。

NDR（ネットワーク検知とレスポンス）

NDR はリアルタイムでネットワークトラフィックを分析し、個々のデバイスにエージェントをインストールすることなく、高い可視性を提供します。

主な特徴：

• ラテラル分析：サブネットや内部デバイス間のトラフィックを監視する。
• 異常検知：C&C サーバとの通信や、流出に関わる通信を検知。
• 柔軟性：必要に応じてクラウドやローカルハードウェアに展開。

具体例：

不審な外部サーバへのトラフィックの異常な増加を検知し、データ流出が発生する前に接続を遮断する。

XDR （拡張検知とレスポンス）

XDR は、エンドポイント、ネットワーク、クラウドアプリケーションからのデータを組み合わせて、統合されたビューを提供し、高度な脅威に対応します。

主な特徴：

• 高度な関連付け：複数のベクトルを組み合わせて複雑な攻撃を検知。
• 誤検知の削減：AI を用いた不審なイベント関連付けによる正確性向上。
• 一元管理：セキュリティ運用を最適化する、一元化されたプラットフォーム。

具体例：

クラウド上の不正アクセス試行とエンドポイント上の異常なアクティビティを関連付けて、アカウント侵害の可能性を報告する。

MDR （マネージド検知とレスポンス）

MDR は、高度なテクノロジとサイバーセキュリティの専門知を組み合わせ、リアルタイムの検知とレスポンスを行います。

MDR の柱：

1. 継続的な監視：複数のソースからのイベントを監視し、IoC（セキュリティ侵害の痕跡）やIoA（攻撃の兆候）を検知する。
2. 脅威ハンティング：リアルタイムおよび過去ログ分析により、隠れた IoC や IoA を検出する。
3. 戦略的レスポンス： 5W（誰が、何を、どこで、いつ、なぜ）に加え、インシデントを迅速に封じ込め、緩和する方法を用いる。
4. 継続的改善： 事例をもとにした見直しを通じて、安全態勢を強化する。

具体例：

MDR サービスがリアルタイムの総当たり攻撃を検知・ブロックし、ユーザが多要素認証を導入することを推奨する。

結論

EDR、NDR、XDR ソリューションは、一貫したサイバーセキュリティ戦略を考える上で鍵となる要素です。一方 MDR は、テクノロジと人的専門知識を組み合わせることで、戦略上の支援要素としての役割をはたします。このような補完的なアプローチによって、組織はますます高度化する脅威に対して自信とレジリエンスを持って対処することができます。

このシリーズのパート 1 と併せてお読みください。