EDR とセグメンテーション:違いを理解する
EDR(エンドポイント検知応答)とセグメンテーションは、お客様に価値を提供し続ける上で不可欠なセキュリティツールであり、どちらも普及率が向上しています。しかし、それぞれの分野のベンダーはいずれも、ランサムウェアやゼロデイ脅威からの保護など、同様のメリットをお客様に宣伝していることが少なくありません。
EDR とセグメンテーションが対処する問題の類似点は何でしょうか?また、問題解決のアプローチにはどのような違いがあるのでしょうか?詳細は続きをご覧ください。
EDR とセグメンテーションの類似点
EDR とセグメンテーションのソリューションはいずれも、侵害前の管理と侵害後の緩和策を提供します。また、いずれもサーバー、クラウドインスタンス、エンドユーザーのデバイス、コンテナなど、同じネットワーク領域で見られることが多くなっています。 侵害は必ず発生します。これらのソリューションはいずれも、そのような侵害が発生した際、ネットワーク全体で大きな損害を被る前に、その侵害による影響を緩和または軽減することが可能です。しかし、これらのソリューションはどちらも侵害の可能性や急増を阻止することが目的ではあるものの、アプローチ方法が異なります。
EDR とセグメンテーションの違い
EDR の目的は 攻撃 を検知することです。最初にデバイスやサーバーがターゲットにされたときに、望ましくない暗号化イベントに関するアラートを発行したり、サイバー犯罪組織に関連付けられた IP への接続を検知したり、不審なアクティビティを管理者に通知したりします。また、人工知能や機械学習の進歩によって EDR の機能が向上したため、ファイルシグネチャーと既知の攻撃の類似点に基づいてゼロデイ攻撃を識別できるようにもなりました。
一方、セグメンテーションソリューションはネットワークをサイロ化されたバケットに分割し、EDR が検知しなかった攻撃について、そのラテラルムーブメント(横方向の移動)を制限することを目的としています。重要なアプリケーションのリングフェンシング、きめ細かなアクセス制御、脅威緩和ポリシーを活用できるようにセグメンテーションソリューションが適切に構成されていれば、ネットワークに侵入されても、最終的にその攻撃は確実にバリケードに阻まれることになります。
EDR はこれらの攻撃の開始を検知することができますが、そのソリューションで悪性イベントを 100% 検知できるわけではありません。攻撃者が検知されずにデバイスに侵入した場合、その攻撃者が次にどこに進めるかによってその攻撃の規模が決まってきます。そこで役立つのがセグメンテーションです。
その侵害されたデバイスが接続できるデバイスやアプリケーションを制限するのが、セグメンテーションソリューションとネットワーク・セキュリティ・コントロールです。セグメンテーションを実装している場合、例えばノート PC が盗難に遭ったときに、ネットワーク・セキュリティ・ポリシーによってその PC がデータセンターに接続できないようになっていれば、その PC の認証情報セットの悪用による重大なデータセンター侵害を防ぐことができます。
EDR とセグメンテーションのユースケース
ユースケース |
EDR |
セグメンテーション |
可視性 |
デバイス間の可視性と健全性を提供 |
デバイス間、アプリケーション、ネットワーク、ワークロードの可視性を提供 |
ランサムウェアの緩和 |
デバイスやサーバーへの攻撃の展開を検知することが目的 |
きめ細かな横方向のセキュリティ対策を実装して、侵害による影響を制限 |
脅威調査 |
デバイスやサーバー上の異常、脅威、マルウェアシグネチャーを検索 |
ネットワーク全体のクエリーやポリシーの更新を実行して、アクティブまたは非アクティブの脆弱性を特定 攻撃が発生または拡散した際に、攻撃チェーン全体を調査 |
境界セキュリティの進化 |
デバイスの場所に関係なく、同様の機能を提供 |
従業員がリモートでアプリケーションにアクセスしたときでも強力なネットワークセグメンテーションを維持 |
ユースケース:可視性
EDR
EDR ソリューションは、ソリューションがインストールされているデバイスの状態を可視化します。EDR では、既知の脅威や未知の脅威がないかデバイスを常に監視しています。また、機械学習を使用してデバイスの通常のふるまいを把握し、異常なふるまいが発生した場合にアラートを送信することができます。この常時監視では、CPU の消費量が多くなる場合があります。
セグメンテーション
環境を完全にセグメント化するために、セグメンテーションソリューションは、サーバー、エンドユーザーデバイス、クラウドインスタンス、コンテナ、接続など、ネットワーク全体の包括的な可視化を提供するものでなければなりません。この可視性には、アセット間のアクティブなデータフロー、リスクをもたらす目に見えない接続、ポリシーの変更やサーバーの感染で影響が及ぶネットワークの依存関係が挙げられます。これらの情報があれば、あらゆる脆弱性を考慮したセグメンテーションポリシーを作成でき、 ラテラルムーブメント(横方向の移動) の可能性を大幅に低減できるようになります。
ユースケース:ランサムウェアの緩和
ランサムウェア攻撃の大部分は、安全性の低いパスワードやフィッシングメールのクリックスルーなど、ユーザーのミスが原因です。これらのイベントでは、EDR とセグメンテーションが、さまざまな段階においてさまざまな方法で攻撃の拡散を防止します。
EDR
EDR ソリューションは、監視対象のデバイスで動作中または実行中のランサムウェアを検知することを目的としています。EDR はランサムウェアを検知すると、プロセスを終了し、デバイスを隔離し、場合によっては発生した暗号化をロールバックすることができます。
セグメンテーション
攻撃前:デバイス、接続、プロセスなど、単一の UI から環境全体をマッピングして、適切なセキュリティポリシーを適用します。これにより、デバイスからデータセンターへの接続(管理者側で確認できない)が使用できなくなり、ランサムウェア攻撃を防止することができます。
攻撃後: ランサムウェアにより環境が侵害された場合、全体への影響を小さくするためには、重要なアプリケーションの分離、データベースへの望ましくない接続の排除、ラテラルムーブメントの制限など、セグメンテーションソリューションを使用した手順の実行がすべてにおいて効果的です。また、定義済みのランサムウェア対策により、ユーザーは、環境内の他の部分を中断することなく、アセットを戦術的に分離したり、特定のデータフローを制限したりして、事業継続性を確保することができます。
ユースケース:脅威調査
EDR
エンドポイント検知応答(EDR)の「検知応答」においては、多くの場合、ソリューションそのものだけでなく、管理者やセキュリティ・オペレーション・センターのチームも脅威検知のために深く関わっています。有能なチームと実績のある EDR が融合することで、デバイス内に隠れている攻撃者を検知できるようになります。
セグメンテーション
経験豊富なセキュリティアナリストは、セグメンテーションソリューションを使用すると、レガシー OS を実行するオンプレミスサーバーからパブリッククラウド環境の サービスインフラとしてのプラットフォーム まで、ネットワーク全体でクエリーを簡単に実行できることがわかることでしょう。
また、セグメンテーションソリューションでは、ソリューションの UI からすべての接続およびネットワークイベントにアクセスできるため、侵害が発生したときに優れた攻撃チェーン調査を提供できます。これにより、攻撃の詳細レポートを短時間でマッピングして作成できるため、侵害が発生した場合のコンプライアンスの達成が大幅に簡素化されます。
ユースケース:境界セキュリティの進化
EDR
従業員がオフィスネットワークに接続していても、自宅のルーターに接続していても、EDR はエンドユーザーデバイスを常に監視して、悪性のアクティビティの有無を確認することができます。しかし、ネットワークアクティビティの可視性には依然として盲点であり、エンドポイント間を移動するネットワークトラフィックの制御は限定的です。
セグメンテーション
セグメンテーションは、進化し続ける境界の基本的なセキュリティ対策です。そのようなプラットフォームでは、発生場所にかかわらず、侵害を封じ込めることができるからです。セグメンテーションポリシーでは、エンドユーザーデバイスを考慮し、組織の最重要情報への簡単な経路がないように万全を期しているため、ネットワークは壊滅的な侵害から保護された状態になります。
EDR とセグメンテーションの相互補完
EDR とセグメンテーションはどちらも最優先のセキュリティ問題に対処するものですが、対処する攻撃チェーンの段階や対処方法が異なります。EDR は、新たな攻撃を特定するための強力なソリューションとなりますが、ネットワークのアタックサーフェスを大幅に減らし、侵害の際に マルウェア が選択できるデバイスの経路を制限することを目的とするのであれば、セグメンテーションソリューションが必要です。
どちらのソリューションもエージェントベースであり、エージェントごとに異なる目的に重点を置きながら、CPU 消費を最小限に抑えることができます。また、1 つの統合型ソリューションで特定のデバイスに EDR 機能とセグメンテーション機能の両方を提供できる場合もあります。
詳細について
デバイスで発生した攻撃からネットワークを保護する上で、セグメンテーションソリューションがどのように役立つかについて、詳しくは ソリューション概要をご覧ください。
