このタイトルの切り口、面白いと思うんだよね!閉域環境で利用できるEDR。言い換えると、インターネットができない閉じたネットワークで利用できる環境。どうしてインターネット接続をさせないの?という問題もあるけど、いろいろな会社事情で、閉じられたネットワークが便利な時もあります。ただ、完全に閉じてしまうと業務品質が低下するだろうから、どっちがいいか、なかなか判断が難しいところです。
美味しいところは繋げて、美味しくないところは閉域環境!これが素敵だと思うんだけど、なかなか現実は難しい。難しいのは経営層に伝えて理解してもらうとこと。理解がまず追いつけていけないんだろうなー、と感じます。
今回の内容は、PCやサーバとかは閉域環境で、Proxy(プロキシ、プロクシ)を立てることで使えるおいしい製品。このProxyについては、閉じられた閉域環境のPCやServerに対してProxyの設定を入れて繋げさせる、ということではありません。クラウド上にあるEDRサーバに対し、Proxyとして繋げられるってこと。画期的な製品かと思います。
EDRツール側に、Proxy経由で通信するよ、という設定情報が入ったインストーラーをエンドポイントにインストールが必要という、やや面倒なところ。セキュリティ側から見ると、PC利用者が好き勝手に変更できるようになると、それこそセキュリティ的にどうなのか、という問題もあるので、それはそれでしょうがないのかもしれない。言い換えると、Proxy経由ではないところで通信しようとすると、Proxy設定が邪魔でEDR通信が行われないという痛いところ。
閉域環境からインターネットができるオープンな環境にエンドポイントを移動した際は、一旦削除してインストールが必要。ここらへんは、proxyへのpingが飛ばなければproxyをキックして欲しいんだけどな〜。レジストリ部分をいじくってもダメなようで、アプリの再インストールが必要。ここで、面倒なのが、削除しようにも、EPP側のポリシーで削除できないポリシーを無効にする必要があったりする。しょうがないですけどね。
EDR製品を全部みたわけではないけど、ほとんど多くがProxyを持っているシステムがなくて、インターネット接続ありきなんですよね。だから、EDRを利用したくても利用できない環境の企業様もそれなりにあるはず。けれど、セールスの方はEDRにはインターネット接続ありきで推しに売りに出すだろうから、EDRを諦めるか、インターネット接続を強行するとか、ユーザー側は二択になる。難しい選択ですよね。
そもそもProxyって何?となると、話がついていかなくなると思うんだけど、これは次回投稿するとして。簡単にいうと代理人(代行者)に代行して処理してもらう、ということかな?当事者、作業本人が直接行うんではなく、代行者に処理を任せる、ということです。だから直接犠牲を受けることがない、という便利なツールで、Webフィルタリングが流行した時期がありました。今では入っているのが当たり前の時代です。Webフィルタリングから最近ではサイバー攻撃対策として、SWG:Secure Web Gatewayという名前で販売されているケースが多く、社員、接続者が安全にインターネットに接続できますよ〜!といううたったサービス名に変わっているけど、URLをフィルタするWebフィルタだよね、元を正せば。
SWGとかは、PC側に設定を加えなければいけない、Agentタイプや、Proxyを入れたり、PACで対応したり。Agent、PCにインストールするタイプだけど、今回の内容はこのAgentタイプ。PACって何や?となってしまいかねないけど、Proxyのところで説明しましょう。
本題に戻り、EDRって、Endpoint Detection and Responseの略で、PCやサーバーで発生する不審な動きを検知し、詳細なログを記録し、迅速に対応・対処できるようにする製品。つまり、ブロックとかはしないんだよね。これ、結構勘違いされている方が多く、EDRを入れることで、サイバー攻撃で完全に防げます!といった営業トークがある。けど、防ぐのは人間の処理であって、防ぐための手助けをしてくれるのが、EDR。防ぐには、根拠が必要。根拠となるデータを瞬間に分析してくれるのがEDR。けど、最終的にヒトが対応するので、これを代行してくれるマネージドサービス、いわゆるMDR(Managed Detection and Response)や、アクションまでをしてくれるXDR(Extended Detection and Response)までサービスを購入しないと、やりようがないのが現実。
EDRを入れたところで、情シスは困るだけ。セキュリティの基本はできるだろうけど、セキュリティ会社ではない筈だから、このアプリの振る舞いは、怪しいかどうかはわからないと思います。実際、私もわかりません!悪意のある振る舞いがあったとして、ブロック判断された場合、それが業務アプリだったらどう?業務が回りません。
会社で回しているバッチは、しょっちゅうEDRに検知されてしまう。ハッシュ値でホワイトリスト化するわけですが、ネットワークドライブを切断して接続し直す、これもPCから外への振る舞いなのでEDRで検知されたり、administratorsグループに管理用IDなりを追加する処理も、EDRから見ればリスクの高い振る舞いとして見えてしまう。そう、PCのインベントリを取得するIT資産管理ソフトなんても、不審な振る舞いとして見えてしまう。ハッシュ値でホワイトリストをしているのを忘れていて、IT資産管理ソフトのバージョンアップしたらアップデートされない!見事にEDRでブロックされている、ってなことは、多々。ほんと、仕事が増えますわ…。
EDRはEPP(Endpoint Protection Platform:ウイルス対策ソフト)が入っておかないとPCやサーバーのセキュリティ対策は無謀に近いので、EPPが入っていることが前提とした次の対策となる。で、一般的に、EDRはEPPの製品を使うことが多い。シームレスな連携を期待するためだしね。メーカーによっては、EPPのプラグインで提供されるケースもあるので、同一メーカーで押さえておけば、抜け目ないよねという考え方があります。これ、当然のことで、EPPはA社、EDRはB社とかにした場合、マルウエア類が素通りするケースも考えられるので、基本メーカーを合わせた方がいいね。
メーカーを合わせた方が、ホワイトリスト化が一本で済む、というのも上述の理由から。いいところどりして、EPPはこの製品、EDRはあの製品、とすれば運用が回らなくなる。経営陣の言いなりはNG。運用目線で製品選びが必要です。
これも営業トークでよく耳にするけど、EPPの製品が違っても使えますよ!ってね。逆にセキュリティホールが発生しそうな気もしますね。営業は自分の売上成績をあげることが目的だと思います。営業経験はありませんので、わかりませんが。
このブログでは、情シス目線で、ゆる〜く情報を提供していこうと思います。次回は、EDRについて、もっと突っ込んでいきたいと思います。