2021.3.1技術ブログ

EDR vs SIEM どちらを先に導入するべき?

本稿では、「エンドポイントによるセキュリティ検知・対応」ソリューションであるEDRと「セキュリティログを活用によるセキュリティ検知」ソリューションであるSIEM/UEBAのどちらを優先して導入するべきか、両者を比較し検討する。

業務関連のメールを装ったマルウェア付きメールを送り付ける標的型攻撃に代表される高度なサイバー攻撃は、従来の防御中心のセキュリティ対策では防ぎきることが困難となっています。そこで昨今では、侵入されることを前提に、いち早く検知し、対応するためのセキュリティ対策の重要性が高まっています。米国のNISTでは、セキュリティ対策の全体像のフレームワークを図1のように定義しています。

図1:NIST「Cybersecurity Framework Version 1.1」(2017.12.5)

図1:NIST「Cybersecurity Framework Version 1.1」(2017.12.5)

セキュリティインシデントの検知・対応ソリューション

攻撃者は攻撃対象のセキュリティの弱点を事前に把握することができること、また攻撃を行うための時間が無制限にあるため、圧倒的に有利な状況になっています。そのため、セキュリティ対策においても全ての攻撃を防ぐことはできないという前提に立ち、防御重視だったものが検知・対応・復旧等のインシデント対応を重視するように変化しています。迅速なインシデント対応の支援を目的としたソリューションとして、注目を浴びているのがEDR(Endpoint Detection and Response)とSIEM(Security Information and Event Management)/UEBA(User and Entity Behavior Analytics)です。

EDRは、エンドポイント(クライアントPC等)で起動しているプロセス等をリアルアイムに監視し、不審な挙動を検知するソリューションです。また、標的型攻撃を受けエンドポイント上でマルウェアを実行してしまった場合は、EDRでマルウェアのプロセスを停止すること、マルウェア感染している端末からマルウェアが拡散しないよう通信制御を行うことができます。このようにEDRはマルウェアの検知や除去などの初動対応を支援し、被害を最小限に抑えることができます。代表的なEDR製品としては、CrowdStrikeやTaniumといった製品が挙げられます。

一方、SIEMは、セキュリティ製品やネットワーク機器、サーバなど複数の機器からログを収集・加工・分析して本来想定している人の振る舞いに異常が発生したことを検知できるソリューションであり、検知するルールを定めておくことで会社や部署全体の平均から外れた人の振る舞いを検知することが得意なソリューションです。
SIEMは組織全体の平均から外れた振る舞いを検知することが得意ですが、個人単位の行動履歴から異常な振る舞いを検知することが得意な製品がUEBAです。
UEBAは従来のSIEMの発展形のソリューションであり、ユーザーの振る舞いに着目して不審な振る舞いを可視化する技術です。SIEMで一括管理したログをUEBAに取り込みユーザー単位での振る舞いを分析し、通常とは異なる振る舞いを検知することが得意なソリューションです。(図2参照)

図2:SIEMとUEBAの検知イメージ

図2:SIEMとUEBAの検知イメージ

目的は同じでも、アプローチ(やれること)が異なるソリューションである

EDRはエンドポイントでの怪しい振る舞いを検知・対応・復旧することができ、一方SIEM/UEBAは複数の機器から収集されるログを収集・加工・分析することで怪しい振る舞いを検知することができます。他にも、図3に示すような違いがあります。

図3:サイバーキルチェーンにおけるEDRとSIEM/UEBA製品の検知可能性の比較

図3:サイバーキルチェーンにおけるEDRとSIEM/UEBA製品の検知可能性の比較(※)

SIEM/UEBAは不審なアクティビティを複数のログを通して検知するための集中型プラットフォームです。また、長期間にわたってデータを保管するだけでなく、複数の機器から集めた様々なログを統合管理し、相関分析することでインシデントの検知を行います。SIEM/UEBAには対応機能はありませんが、単一の機器からでは発見できないような巧妙なサイバー攻撃によるインシデントを見つけられる場合もあります。しかし、膨大な量のデータを収集しているため誤検知/過検知も発生します。またSIEM/UEBAの効果を最大限に発揮するには、各機器から十分なログを必要な状態で取れている状況であることが大前提となっています。

一方で、EDRはネットワークにつながるエンドポイントをリアルタイムで監視しているため、即座にセキュリティインシデントを検知することができます。EDRには防御機能があるため、早期の段階でインシデントを未然に防ぐ効果がありますが、システム全体としてどのようなインシデントが発生したのかを確認するのは難しいといえます。EDRを利用する前提としてはクライアント装置へのインストールが必要となります。

またどちらの製品にも言えることですが、サービスの運用を常に維持し、メンテナンスを行うことは必須です。そのためには、製品に関する十分な知識と、機能を活用できるスキルを持った人材が必要となります。

(※) サイバーキルチェーン

高度サイバー攻撃における攻撃者の一連の行動を7段階に区分したロッキード・マーティン社のサイバーキルチェーンモデル
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

結局、どちらのソリューションを選べばよいのか

標的型攻撃の場合は、EDRは早期に攻撃を検知・防御することが可能です。しかしEDRがマルウェアを検知できず、不正ログイン・なりすましがされた場合は、SIEM/UEBAがないと検知が難しいということが言えます。
EDRとSIEM/UEBAは、どちらも検知機能を持っていますが、得意分野の異なるソリューションです。長期的にはどちらも取り入れ、万全を期することが理想的な選択ではありますが、どちらを先に導入するかは、導入の目的やお客様の環境によって優先度は変わります。セキュリティ対策の導入にお悩みでしたら、まずは弊社まで連絡ください。

記載されている会社名、商品名、又はサービス名は、各社の登録商標又は商標です。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ