同じ「看板」掲げても異なるセキュリティ対策製品

「EDR」への期待と実装のギャップが表面化した事例のひとつを紹介してみたい。インシデント発生時の緊急支援サービスを展開しているセキュリティベンダーのラックが現場で経験したケースだ。

「EDR」が導入されているとして支援にあたったところ、被害環境で運用されていた製品は、アラート発生時の前後に限ってログを取得する仕様だった。インシデント対応の観点でレスキューチームが期待していた平時のログデータは取得されていなかったという。

同ケースでは、調査にあたり端末のディスク全体に対するフォレンジックが必要となり、準備を含めて2週間以上を費やすこととなった。平時のログデータが確保されていれば、2日程度で調査が完了したと同社では見ている。

もしインシデントが発生したこの組織が、「EDR」を導入してさえいれば、いかなる場合もインシデント対応時間を大幅に短縮できると期待していたのであれば、予想外の「タイムロス」であろう。

ひとくちに「EDR」といっても、監視や検知機能を主軸とした製品、ログ収集や調査に力を入れた製品、対応支援に強い製品、オールラウンドに機能を実装しようとした製品など、開発コンセプトもさまざまだ。それこそ「検知」や「対応」といった個々の機能をとっても一様ではない。

（Security NEXT - 2021/02/01 ） ツイート

PR

関連記事

主要ベンダー製品と連携するXDRを7月に提供 - Cisco
バックアップ製品に新版、ランサム対策も - ベリタス
侵害リスクの高い機器を特定するサービスを提供 - デロイトトーマツ
セキュリティ運用サービスをリニューアル、EDRのログ監視に対応 - セキュアヴェイル
クロスポイントとサイバーリーズン、EDRを活用したSOCサービス
ラックとMIND、「マネージドEDRサービス」の提供で協業
脆弱性管理など必要時のみ利用できる新ライセンス体系 - エフセキュア
「サイバーセキュリティお助け隊サービス制度」がスタート - まずは5社から
EDR運用サービスに復旧支援対応など追加 - NRIセキュア
Windows Server向け製品に新版、ネットワーク脅威対策を強化 - カスペ