本日は「感染後対策-EDRとMDR」をすすめます。
セキュリティの話題で、EDRというキーワードがよく耳に入るようになってきたかと思います。
EDRが注目されてきている背景には、セキュリティ対策のいたちごっこがあります。
侵入防御(ウイルス対策ソフト、ファイアウォール/UTM)をしていても、
標的型攻撃により、気づくことなく侵入され感染してしまうケースが増加しており、
穴を塞ぐように次の対策をしては、新たな知らない手法で突破されて、といった状態です。
そこで、攻撃は100%防ぐことができないことを前提に
侵入後の対策を強化する考え方が出てきました。
速やかに侵入を検知して、適切な対処を行い、復旧することで、
被害を最小限に抑えることが重要です。
これを可能にするものがEDRです。
では、EDRでどのようなセキュリティ対策ができるのか、
また、EDRと一緒に聞くMDRとは何なのかを
簡単にご紹介いたします。
★
主に、EDRには以下の機能があります。
・セキュリティインシデントの検出
・エンドポイントでのインシデントの封じ込め
・セキュリティインシデントの調査
・修復ガイダンスの提供
つまり、どんな攻撃をされたのかを見える化することができ、
どんな対処をすればよいかを提示してくれる機能です。
しかし、提示されたところで、
ITの専門的な知識がないと対処方法そのものが何を言っているのか分からず、
対処できない、または対処するまでに時間がかかる、
ということになるかと思います。
ここで、MDRの登場です。
MDRを簡単にいうと、EDRの運用と対処を外部の専門技術者にやってもらうサービスのことです。
これで情報システム部門のご担当者様も安心です。
また例えるとすれば、EDRは監視カメラで、MDRは監視サービスと言われています。
監視カメラを設置していても見ていなければ事件に気づけないですし、
かといってご担当者様は他の業務もあるので、監視し続けることもできません。
そのため、EDRとMDRはセットで導入されていることがほとんどで、
もちろんセットでの導入をおすすめいたします。
…ちなみに、侵入防御なしの環境とは、
「家の鍵をかけていない不法侵入され放題の状態」
になりますので、侵入防御は変わらず必要です。
次回は「ランサムウェア対策のバックアップ」をすすめたいと思います。
Written by 02