IT社員3人組によるリレーブログ

某IT企業に勤める同期3人が、日常で思ったことを記録していきます (twitter: @go_mount_blog)

EDRとは〜医者の診察にたとえて説明してみた〜

Shohei サイバーセキュリティ

どうも、ITコンサルタントのShoheiです。

MacBook Air、でましたね。奇跡的に予約開始直後ぐらいにストアにアクセスできたので予約してたんですが、間違って日本語キーボード頼んじゃったり、ディスク容量で迷ったりしてたら、結局到着が一週間遅れになりました。

でも楽しみだ!今この記事を書いているMacは今朝早速メルカリに出しました。3.5万でかなり反応得られていますがブログ読者なら2.5万ぐらいでお譲りします!

 

さて、実は今日Databaseに関して書こうと思ってたのですが、綺麗サッパリ前日のKoheiの記事と被りました。

ということで今日は、前回の僕の記事の続き、エンドポイントセキュリティ、とりわけEDRについて書こうと思います。

EDRとは

"EDRとは"でググると、我も我もと、名だたるセキュリティ企業たちのWebページがヒットします。

もっとベンダ企業バイアスのない確固たる定義が欲しいなぁと探していたら、やはりガートナーさんに行き着きました。

After a long agonizing process that involved plenty of conversations with vendors, enterprises and other analysts, I have settled on this generic name for the tools primarily focused on detecting and investigating suspicious activities (and traces of such) other problems on hosts/endpoints: Endpoint Threat Detection & Response. ((https://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/ (2013年7月記事)))

上記英語ですが、重要点を和訳すると、ホスト/エンドポイント上の疑わしいアクティビティ(およびそのような痕跡)を検出し、調査することに主に焦点を当てたツールという部分です。

そう、キーワードは、アクティビティです。少し細かく説明しましょう。

従来型エンドポイントセキュリティの場合

アクティビティ検知の話の前に、それを使わない従来型エンドポイントセキュリティのウイルス検知の仕組みを簡単にお話しします。たとえをあげましょう。

非ITのたとえで説明します

以下の絵は、医者が患者を診察するシーンを表しています。

患者は頭痛を訴えて医者のもとに来ています。

医者は患者に感染している細菌の情報を取得できており、それを元に診察をしているとします。

 

 

f:id:go-mount:20181031202650p:plain

 

図の左側をご覧ください。患者に感染している細菌は、インフルエンザの菌です。

医者はインフルエンザの菌が悪性であることを知っているので「この患者は病気に感染している」と特定し、対処を始めるでしょう。

では、右側はどうでしょう。患者は明らかに頭痛を訴えて来院していますが、患者に感染している菌が未知の菌です。医学書にも登場していない菌なものなので、医者は診察の際、異常なしと返します。

IT用語を使います

IT用語でいうと、先ほどの医者が持っている悪性菌のリスト(医学書などをベースとしたもの)はシグニチャと呼ばれています。もう少し一般的にいうとこいつが悪いもの、というものを判断するための基準、といったものでしょうか。

従来型のアンチウイルスソフトでは、シグニチャを元に、PCに置かれたファイルがマルウェアかどうかを判断します。

 

従来型アンチウイルスソフトを意識してもう少しだけ正確に言います

上記の例は、医者がすでにかかってしまった病気を判定するシーンをあげました。

アンチウイルスソフトをいれていなかったPCにソフトをいれ、すでに感染していないかをチェックするためにファイル全体をスキャンする、という場合は今までの例でOKですが、実際のアンチウイルスソフトはウイルスにかかる前にウイルスを除外します

この構図を絵に描くと以下のようになります。ちっさいおっさんが口や鼻の部分に待機しており、菌が体に入る前にこの善か悪か判定をし、悪性の菌を除外する構図になっています

f:id:go-mount:20181031211010p:plain

ただ、上述のようにこれはシグニチャベースなので、シグニチャが古かったりシグニチャにないものがくると対処は漏れます。

菌が入ってもすぐに気付けないので、最悪の場合、死に至るなど相当深刻な自体が見える化されるまで感染に気づかないかもしれません。

ITでいうと、情報が抜き取られても気づかない、その後PCが全てロックされて初めて気づく、といったところですかね。

EDRでできるアクティビティ検知

では、アクティビティ検知の話にいきましょう

非ITのたとえで説明します(検知方法)

絵をみたら明らかですかね。

上記のように菌が悪性かどうかという照らし合わせにより病気を判断するのではなく、状態や行動などから総合的に病気を判断しています。

これにより、未知の菌についても異常を見極め、対処に進めることができます。

f:id:go-mount:20181031205735p:plain

実際のEDR製品等でいうと

図でいうと以下のイメージです。

同じく小さいおっさんが入っており、入ってくる菌の種類ではなくて体の状態を監視しています

そうすることで知らない菌であっても、感染したらすぐに体の異常(喉の腫れなど)を検知し、なんらかの対処(実際のITの例でいうとファイル隔離や論理抜線など)にうつります。

 

f:id:go-mount:20181031212046p:plain

発想がかわっている

さて、ここまででお気づきいただいたかもしれませんが、従来型アンチウイルスソフトEDRでは発想が少し変わっています。前者の場合は、菌を体内にいれない、という防御の部分に特化していましたが、EDRは異なります。

防御よりむしろ、入った場合に素早く確実に検知をする、という発想に変化しています。

日々新たな攻撃手法が開発され、セキュリティ攻撃を100%防ぐことができるとは言えない時代になっているので、せめて感染したとしても検知と対処の時間を早めて被害を最小限に抑える、最後の砦的なものがEDRです。

まとめ

EDRについて説明しました。