EDR市場は成長を続けていますが、ベンダーの立場から見たEDRが求められる現状とその理由についてお話しください。
クラウドストライク株式会社社長 河合哲也氏河合氏 CrowdStrikeがEDR製品を発売したのは5年前ですが、当時のEDRは尖ったインターネットビジネスをしているユーザー向けの最先端技術という位置付けでした。それが今では、大企業ではほとんど導入または検討している状況で、中堅中小企業でもITへの依存度が高い企業は導入し、アンチウイルス(AV)と同様なコモディティな存在になっています。
現在のセキュリティ対策は、従来のような防御一辺倒の構えから、侵入されることを前提とし、ログを取ってそこから検知・対応する力を持つという形に変わりつつあります。背景にあるのが、多発する情報漏洩やランサムウェアの被害です。みなAVを入れてしっかり運用していたのに、被害が出ているのです。
今の攻撃はマルウェアフリーと呼ばれる形式で、従来のシグネチャベースでスキャンする方法では、大半の攻撃は対処できません。そこでファイルではなく、振舞いを見つけていくという次世代アンチウイルス(NGAV)が登場しましたが、NGAVでは止められない攻撃も出てきていて、それをEDRで守っていく形の2段階防御が行われています。
ただし、従来のEPPが全てEDRに置き換わることはありません。物理セキュリティに置き換えて考えるとわかりやすいのですが、例えばマンションのセキュリティを考える時、最初にオートロックを付けます。これで9割以上の侵入は防げますが、プロはそこをすり抜けるので、オートロックで防げないところを警備会社と契約し監視カメラを付けて常時監視するという形になります。
それと同様に、簡単な攻撃はAVで止めてレベルの高い攻撃にフォーカスし、EDRで人が監視するのが一番効率的な方法です。そういう意味で、従来のEPPとEDRの2段構えが今はベストだと思います。
関氏 現在はファイルレスやハッキングツールを使った、非マルウェア攻撃が増えているので、対策の際に小さいものはEPPで叩き落し、じっくり見ないといけないものをEDRで見る形でトリアージをします。現場でもそのような事案が増えてきていますね。
