2022年2月8日

EDR では不十分な8つの理由

EDR(エンドポイント検知および応答)ツールは、組織が日々直面するサイバーセキュリティの脅威のほとんどを阻止し、修復することができるという考え方に基づいて、人気が高まっています。しかし、色々な事実に照らし合わせていくと、EDR の有効性と保護能力については人々の期待とはまったく違う姿が見えてきます。実際にEDR がセキュリティ対策の柱となっているのに合わせて、サイバー攻撃の頻度・深刻度・成功率はますます上昇しています。

脅威の状況は、明らかに危険なものになってきています。2019 年から 2020 年にかけて、ランサムウェアの攻撃は 800% 増加し、Ponemon Research は、侵入が成功した攻撃の 80% は未知のマルウェアやゼロデイ攻撃によるものであると指摘しています。多くの組織が使用しているツールでは、巧妙化する攻撃から十分に保護できていません。

もしEDR ツールだけでランサムウェアやゼロデイ攻撃を防ぐことができるのであれば、攻撃は減少傾向になっているはずです。しかし、何十億ドルもの資金が投入されているにもかかわらず、攻撃は増加しているのです。

eBook「EDR だけでは不十分な8つの理由」から、なぜ EDR が高度な攻撃に対する防御の答えにならないのかを学ぶことができます。

  1. 「侵入を前提とする」という考え方にはそもそも問題がある
  2. EDR は受け身のアプローチ
  3. EDR ではランサムウェアに絶対に勝てない
  4. EDR は誤検知を多く発生させる
  5. 機械学習の弱点が EDR の効果を低下させ、悪用される可能性がある
  6. EDR ができるのはエンドポイントの可視化だけ
  7. EDR は実行後に対処するもので、実行前に防ぐことはできない
  8. XDR は EDR の効果を低下させるだけ

サイバーディフェンスを再考する

EDR は、「侵入を前提とする」という考え方に基づいています。つまり、どのようなサイバー防御も、サイバー攻撃者の侵入を防ぐことはできないというのが、長年の考え方になっています。EDR、MDR、NDR、XDR などの検知・応答ソリューションには、実行後の修復を基本としているという共通点があります。EDR は、その名の通り、攻撃が行われた後にしか意味を持ちません。そして、これは結局のところ、攻撃者がネットワーク内にいることを意味し、攻撃の全てに対処して停止できたかどうかを確認することはできません。

この点は、有名な 11 の EDR ツールの有効性をテストし、その本質的な欠点を浮き彫りにした最近の調査でも注目されています。現代の脅威はより巧妙になり、多くの侵入が成功している事実から、EDR だけでは今日の高度な脅威を阻止できないことが証明されています。

今こそ、真の脅威対策とは何かを再定義し、マルウェアの検知・分類・防止を可能にしたディープラーニングに基づく新しいアプローチを探求する時です。

事後対応をやめ、予防を始める。

セキュリティチームは、自分たちのセキュリティ能力では今日の最先端の脅威から身を守れないことを認識しており、より高度な保護ツールに積極的に投資しています。ガートナー社は、世界における 2021 年のセキュリティおよびリスク管理への投資額が 1,500 億ドルを超えると予想し、実際、その額を上回る可能性が高い状況にあります。

脅威を阻止するための予防ファーストのアプローチは、リスクを軽減するために既存のEDR ソリューションを補完するか、置き換えることになりますが、マルウェアが実行される前に予防し、誤検知を減らすことで、運用を改善、コストを削減し、ランサムウェアを含む既知、未知、ゼロデイ脅威を、環境に感染する前に食い止めることができます。

最新の eBook「EDR が十分でない8つの理由」では、EDR に関する新たな考え方が必要である理由を説明しています。また、ディープラーニングベースのサイバーセキュリティが、99% 以上の脅威を阻止し、誤検知を 0.1% 未満に低下させ、真の予防を約束する理由についても解説しています。