デバイスを監視するEDRとネットワークを監視するSubGate
やに代表されるサイバー攻撃の巧妙化は、ネットワークへのマルウェア侵入を防ぐことの困難さにつながっています。こうした中、注目されるのが、内部対策などと呼ばれる侵入後の対応です。SubGateとEDR(Endpoint Detection and Response)は、どちらもサイバー攻撃の「内部侵入・拡散」を防ぐためのセキュリティソリューションですが、両者は防御するレイヤー(階層)とアプローチが根本的に異なります。
EDRはPCやサーバーなどの端末で動作するソフトウェア。インターネット経由の管理サーバーとの通信を通して端末を監視し、脅威をリアルタイムで分析します。一方、SubGateはL2ネットワークスイッチの機能を備えるハードウェアであり、スイッチを経由する有害な通信を検知・遮断し、社内ネットワーク内部における攻撃者・マルウェアのラテラルムーブメント(水平移動)※を阻止します。
※ラテラルムーブメントの具体的な手口やメカニズムについては、次号で深掘りします
端末の挙動を監視。必要に応じて強制終了するEDR
防御の考え方の違いもあり、両者を比較するとそれぞれの優位性には明確な違いがみられます。EDRの強みは以下のようになります。
・ファイル・プロセス単位の追跡
端末内でマルウェアが「いつ、どのファイルを改ざんし、どのレジストリを書き換えたか」などをフォレンジックし、被害状況を正確に把握し、再発防止に役立てることが可能です。
・テレワーク端末の保護
ソフトをインストールすることで、社外に持ち出されたPCも監視・保護できます。
・プロセスの強制終了
不審な挙動を検知した際、ネットワークの遮断だけでなく、悪意あるプログラムのプロセスそのものを遠隔で強制終了させることができます
SubGateは複合機など、各種機器のセキュリティにも対応
一方のSubGateの優位性は以下のようになります。
・エージェントレスで管理対象以外の機器も防衛
EDRがインストールできないプリンター、IP電話、Webカメラ、工場などの制御機器、OSサポートが終了しているレガシーPCへのマルウェア侵入を許した際に、SubGateがネットワーク上でその拡散や有害な通信を遮断します。
・運用・保守の手間がほぼゼロ
独自のMDS(Multi Dimension Security)エンジンを搭載し、パターンファイル更新やシグネチャ管理は一切不要です。誤検知による業務停止リスクの低さについても定評があります。
・ネットワーク盗聴の防止
LAN内部でのなりすまし(ARPスプーフィング)を検知・ブロックし、複合機への印刷データやIP電話の通話内容の盗聴を未然に防ぎます。
・ネットワークパフォーマンスの維持
ハードウェア(MDSエンジン)でセキュリティ処理を行うため、PCのスペック不足による処理の遅延や、トラフィックのボトルネックが発生しません。
・端末をシャットダウンせずに対応が可能
有害な通信だけを検知・遮断し、管理者に通報するため、業務を止めません。サーバーが拡散型ウイルスに感染したような場合、被害の拡大防止にはそのシャットダウンが一般的ですが、業務時間内にサーバーを停止する影響は極めて大きなものがあります。SubGateは常に不正な通信だけを止め続けるため、業務を止めずに影響の少ない夜間に対応を図ることが可能になります。
EDRに求められる24時間365日の対応
双方の強みを見比べれば分かる通り、EDRとSubGateは決して排他的な関係にあるわけではありません。「多層防御」として併用することで最大の効果を発揮すると言えます。
ただし、EDR運用には重要な条件が一つあります。それは24時間365日の監視体制の構築です。アラートに応じ、適切な対応策のリアルタイムの判断が求められることは、EDRの普及が情報システム部門を持つ大企業中心に進む理由でもあります。監視は外部サービスに委託することもできますが、高額な費用が必要になることが一般的です。
中小企業の現実に対応する、SubGateによる内部対策
EDRとSubGateの特徴を見比べると、以下のような提案の切り分けが考えられます。
・保護したい機器に複合機、IoT機器が多く含まれますか?
YesであればSubGate提案が有効。
・対象端末にはテレワーク(持ち出し)端末が多く含まれますか?
YesであればEDR提案が有効。
・セキュリティログを監視する専任のIT担当者が存在しますか?
NoであればSubGate提案が有効。
・内線IP電話を使用しています
YesであればSubGate提案が有効。
いずれにせよ、マルウェア侵入後の拡散防止にEDRが有効な選択肢であることは間違いありません。ただしその運用には、中小企業には難しい専任のIT担当者が不可欠です。
一方で、セキュリティ対策が不十分な中小企業を踏み台にしたは、社会課題の一つになろうとしています。既存ネットワークスイッチの置き換えによる導入が可能なSubGateは、中小企業に求められる内部対策強化の重要な選択肢になるはずです。
次号の後編では、マルウェアのラテラルムーブメント(水平移動)に対するEDR、SubGateそれぞれの役割の違いや有効性について、さらに詳しく解説していきます。
ライター:滝本一帆