【EDRの課題を解決するSOC】EDRの成果を最大化するためのサービス

サイバー攻撃からのシステム防御は、企業にとって大きな課題です。システムのセキュリティホールをゼロにし、マルウェアの侵入、感染を未然に防ぐのが理想的な形です。
しかし、未知のマルウェアへの対処は難しく、またリモートワークの普及や利用端末の多様化などの背景から、業務で使用するすべての端末を監視することは容易ではありません。
EDR（Endpoint Detection and Response）やSOC（Security Operation Center）はこの課題に対する有効な解決方法のひとつです。

本記事では、EDRとSOCとはどのような役割を果たすものなのか、導入時のポイントも含めて紹介します。

昨今、サイバー攻撃や情報漏えいのニュースをよく耳にします。
総務省が令和4年度に公表した統計資料（※1）によると、NICT（国立研究開発法人情報通信研究機構）運営のサイバー攻撃観測網「NICTER」が観測したサイバー攻撃関連通信の数は3年間で2.4倍にも増えており、企業のセキュリティ対策強化は火急の課題といえます。
こうした状況下で、水際のセキュリティ対策として注目されているソリューションがEDRです。
※1 出典：総務省「我が国におけるサイバーセキュリティの現状」

EDRとは、ユーザーの使用するPCやスマホのような社内システムの末端（Endpoint）の通信状況を監視し、怪しい挙動の通信を発見次第、管理者へアラートを送るセキュリティソリューションです。
リモートワークの普及は働き方改革を推進するとともに、社内ネットワークへのアクセス場所の急増を招きました。巧妙化するサイバー攻撃と監視すべきエンドポイントの増加によって、EDRの重要度も増しています。

EDRについて、以下の関連記事でも詳しく解説しています。
▼ 「EPP」と「EDR」の違いとは？ エンドポイント対策の目的や機能について解説
▼EDR製品でどのようなセキュリティを実現できる？ 概要や仕組み、具体的な製品を紹介

EDRの重要さは、多くの企業が認知しています。
英国のバンソンボーン社が行った調査（※2）によると、EDRを既に導入している、あるいは近々導入を予定していると回答した企業の合計は90％を超えますが、導入企業の約半分がEDRを活用できていないと感じています。

EDRの活用には通信ログの詳細を分析し、脅威インシデントの見極めやシステムからの隔離、影響範囲の調査、不審なファイルの削除、復旧を行う管理者が不可欠です。
脅威インシデントに対して自動的に対応できる製品もありますが、その場合でも対策人員をゼロにするわけにはいきません。EDRからのアラートに対応できる知識と経験を持つ人材を集め、組織化する必要があるのです。
※2 出典：ソフォス社「3,100人の IT 管理者を対象とした、ソフォス委託の独立系調査会社による調査結果」

EDRのアラートからログを分析し、ただのノイズなのか重要なインシデントなのかを判断するには高度な専門知識と経験が求められます。
EDRの活用には、通信ログを分析する専門的な知識、脅威インシデントに対処する高度な技術力を持つ専門家が必要ですが、多くの企業が専門家の雇用に苦労しています。

またサイバー攻撃はいつ襲ってくるか、わかりません。少ない人員体制でもEDRのアラートがあれば、24時間365日対応しなければならない点も、EDRを活用できていない要因となります。

SOCとはEDRの検知情報を解析し、対処、復旧まで行う専門家によるチームです。
EDRとSOCの両立がセキュリティ対策には必要です。

SOCは、EDRから「脅威の疑いあり」とアラートが上がってきた場合、専門的な知識と経験、技術力を持った管理者が、通信ログの解析、警告インシデントの脅威度を判定します。その後の隔離や復旧対応にも知識と技術力が必要です。

システムで行えるインシデント対策には、ここまでご紹介したEDRの他に、既知の攻撃を防ぐEPP（Endpoint Protection Platform）といったソリューションもありますが、いずれにしてもサイバー攻撃が増加・巧妙化している昨今の状況下では、システムにすべてを任せることはできません。
システムの安全性に万全を期すには、EDRやEPPだけでなくSOCが不可欠なのです。

SOCは、まずEDRから送られてきたアラートが誤検知なのか、脅威インシデントの兆候なのかを通信ログ情報から確認し、解析します。
その後、感染端末をシステムから切り離し、影響範囲内の不審なファイルを削除し、対象端末の復旧（書き換えられたレジストリの修正、バックアップによる上書きなど）を行います。
EDRがアラートを出した後、システムを正常な状態に戻すことがSOCの役割です。

EDR活用に有効なSOCですが、その運用体制には自社内で運用する内製化と専門業者にアウトソーシングする2つの方法があります。
ITサービスのアウトソーシングが主流の中、SOCを内製化する理由とそのメリット、デメリットを解説します。

専門知識のある人員を揃えて、24時間365日の稼働でEDRからの検知に備えるチームであるSOCを社内に設置するのは簡単ではありません。
それは、IT需要の拡大や労働人口の減少によりIT人材が慢性的に人手不足であるためです。
しかし、あえて内製化が求められる要因が「マルチクラウド」体制への備えです。

近年、社内にサーバーやネットワーク機器などのハードウェアを用意せず、クラウド上にシステムを持つ企業が増えています。
しかし1社にシステムのすべてを依存することは、可用性が担保されないリスクの他、ベンダーロックイン（社内業務全体が特定ベンダーの製品や技術に依存しすぎてしまう）、柔軟なITインフラ運用が難しくなる、などの懸念があります。マルチクラウドは、このようなリスクを回避する目的を持ちます。

一方でマルチクラウドには、管理の煩雑さという欠点もあります。特にセキュリティ体制の構築は難しい問題です。どこかひとつのクラウドサービスに依存してしまうとマルチクラウドの意味がありません。

これらの理由から、セキュリティ面のコントロール権は自社が持つべきという考え方が生まれ、内製化を検討する企業が増えています。内製であれば、システム運用チームとセキュリティチームが緊密に情報共有でき、危機対応時のアクションがスムーズになるという考え方です。

組織内の連携が強化され、セキュリティチームに継続的にノウハウが蓄積されること、その結果、問題発生時の迅速で効率的な運用が期待できることが、SOC内製化の大きなメリットです。
マルチクラウド環境で各クラウドベンダーにSOCを任せると、異なる運用手法の違いが問題になります。各クラウドでシステム運用の変更を行うたびにセキュリティ部分の変更も必要になり、結局社内で調整や取りまとめを行わざるを得ません。
セキュリティへの安心感を向上させるには、社内でデータを蓄積し全体をコントロールできる内製化のメリットが大きくなります。

一番の問題は専門知識を持つ人材の確保です。
SOC業務で特に大変なのがログ解析とされており、専門知識のある人材でないと適切に解析できません。専門知識を持つ人材を確保できても、最新のセキュリティ情報に関する継続的な学習体制が求められます。

また、休みなく異常事態に備えるための交代人員も必要ですが、専門人員の雇用にあたり人件費増も気になる点です。
そのため、内製化への課題解消には少人数でSOCを運用する工夫が必要とされています。

こういった様々な課題を解決する有効な手段としては、外部のEDR・SOC導入支援サービスを活用する方法があります。
EDRやSOCの体制構築を検討する際には、導入支援ソリューションを提供する企業に、自社の現在の状況や課題・今後の運用などを包括的に相談してみてはいかがでしょうか。

SOCでEDRを最大限に活用するセキュリティ運用には、専門人員の確保が不可欠です。自社のネットワーク、システム事情を総合的に見直した上で、EDRの導入目的や、SOCを内製化するかアウトソーシングすべきかを判断しましょう。まずは専門家からアドバイスを受け、目指す体制の具体化を行うことをおすすめします。

テクバンでは、セキュリティについてのコンサルティングおよび、多彩なEDRソリューションの導入支援も行なっています。
「VMware Carbon Black Cloud」は、クラウド設置型で多拠点を見張り未知の脅威にも対応可能なEDRです。

「Sophos Intercept X Advanced」は、ディープラーニングにより未知の脅威にも備え、検知、隔離、駆除、復旧そして感染原因の分析までAI（人工知能）が実行します。MDR（Managed Detection and Response）サービスと連携も可能で、専門知識と経験豊富なスペシャリストが導入から監視運用、インシデント対応、再発防止策の策定までトータルに支援します。

「CrowdStrike Falcon」は、クラウド下での運用を前提に設計された統合型セキュリティソリューションです。世界中に設置されたクラウドストライクの情報を機械分析し、未知の脅威に備えます。

それぞれの導入にあたって、テクバンではお客様の状況を詳しくヒアリングした上で最適なサポートを行っておりますので、ぜひお気軽にご相談ください。