1課の技術書も第三回目に突入いたしました。
はじめまして。ブログの投稿は初となります、Fuと申します。
初投稿ということで、簡単に自己紹介をさせていただきますね。

IT業界に入る前は事務職として主にデータ入力の仕事をしておりました。
未経験から入社して1年目、まだまだ駆け出しの新人です。
元々事務職でパソコンは日常的に使っていたものの、
サーバーとはなんぞや?オンプレとは??レベルで、IT業界は未知の世界でした。。。

ITインフラに興味はあったのですが、未経験からの転職は中々難しい…という時に
「未経験からでも研修を通して就職活動ができる」という若チャレの存在を知り、
チャレンジしてみよう!と飛び込んで、なんやかんやの末に今に至ります。
若チャレについては過去の記事をご覧くださいね!

そろそろ入社して1年になりますが、わかることが増えるにつれてわからないことも増えていきます。
わからない単語を調べた先でわからない単語が出てきて、またその単語を調べて……ということがよく起こります。
無限ループって怖いですね。
そんな中で私がわからないなりに身に着けた知識を、この「1課の技術書」で共有していけたらと思います。

さて、早速本題に入りましょう!

今回は前回に引き続きセキュリティの話です。
次世代のセキュリティとして注目されている、EDR(Endpoint Detection and Response)について書いていこうと思います。

EDRとは?

早速ですが、EDRとはなんでしょうか?
まずは言葉の意味から調べていきましょう。

EDRは、

E…Endpoint(エンドポイント)
D…Detection and(検出と) 
R…Response(対応)

を略した言葉となっています。
直訳すると、「エンドポイントの検出と対応」ですね。
EDRとはその言葉の通り、エンドポイント(ネットワークに接続された端末)を常時監視し、マルウェア(ウイルスなどの悪意のあるソフトウェア)による不審な挙動を検知した場合に迅速に対応することができる製品のことです。

EDRの動きは?

では、EDRの言葉の意味がわかったところで、次にEDRが実際にどんな動きをするのかを見ていきましょう。
※細かい機能については製品によって違うので、あくまで一例として見てください。

まず、対象のエンドポイントの状態を常時監視し、ログを取得します。…①
取得されたログを解析し、怪しい挙動を検知すると管理者に通知します。…②
管理者は通知されたアラートをもとに、状況を確認します。…③
必要に応じて、対象のエンドポイントをネットワークから隔離する等、被害が広がらないように対応します。…④

これにより、マルウェアの被害を最小限に抑えることができるのです。
どうでしょうか?なんとなくイメージは掴めましたか?

従来のセキュリティとの違いは?

さて、最初に「次世代のセキュリティ」と書きました。では、従来のセキュリティとは何が違うのでしょうか?
まず、違いを説明する前に、従来のセキュリティについて軽く説明させていただきますね。

従来のセキュリティとしては、AV(Antivirus)NGAV(Next Generation Antivirus)などが挙げられます。

・AVとは
AVとはAntivirusの略で、いわゆるウイルス対策ソフトのことを指します。
過去に検出されたマルウェアを定義データベースに登録しておき、データベースにある情報と特徴が一致するファイルが見つかると、検出する仕組みになっています。

・NGAVとは
NGAVとはNext Generation Antivirusの略で、その名の通り、AVのNext Generation(次世代型)になります。
AVではデータベースに登録されているマルウェアしか対処できませんでした。
NGAVでは、ファイルの不審な動作を確認したり、AIによる機械学習などを利用して、過去に検出したことのないマルウェアでも検知することができる仕組みになっています。

イメージとしてはこんな感じ?↓

AVやNGAVについては、詳しく書くと長くなってしまうのでここではざっくりとした説明にさせていただきます。
気になる人は調べてみてくださいね!
要するに、どちらもウイルスが侵入しないように事前に防ぐ役割を持っています。
(ウイルス対策ソフトについては前回の記事で詳しく扱っているので、ぜひ読んでみてください!)

対してEDRは、ウイルスを防ぐ機能はありません。
「ウイルスに侵入されることを前提とし、侵入された際に不審な挙動を検知して対応する」
これが、EDRの役割です。

ここまでの話を聞いて、
「それならAVやNGAVでマルウェアが侵入する前に全部防いでしまえばいいのでは?わざわざ侵入されることを前提としたセキュリティの必要性って?」
と思うかもしれません。

そう、本当なら侵入される前に全て防いでしまうのが一番なのです。
しかし、昨今はサイバー攻撃が巧妙化しており、AV/NGAVでは防ぎきれないような未知のウイルスが増えてきています。
日々生み出されているウイルスはなんと数十万個(!)とも言われています。
そのため、従来のセキュリティだけでは防ぎきれないのが現状となっています。
そういった背景から、侵入されることを前提としたEDRが求められるようになっているのですね。

当たり前ですが、セキュリティの観点では脅威を事前に防ぐことも、侵入された後に対応をすることも、どちらも必要なことです。
より高いセキュリティ効果を得るために、AV/NGAVとEDRを併用していくことが大切です。
また、製品によっては両方の機能を兼ね備えたものもあるので、そういった製品を使うのもひとつですね。
具体的にどんな製品があるのかは……今回は割愛しますので、興味があれば調べてみてください。

今回はこのあたりで。
簡単にではありますが、EDRについて説明させていただきました。

EDRをはじめ、セキュリティソフトは時代に合わせて進化しています。
製品を使う側である私達も、日々知識をアップデートしていくことが大切だとひしひしと感じる今日この頃です。
時代に取り残されないように一緒に頑張りましょう!(笑)

今後も「1課の技術書」を投稿していくので、次回もぜひご覧ください!

それではまた次回!

The following two tabs change content below.

Fu

事務職からIT業界へ転職してそろそろ1年になる新人です。未経験からの入社ですが、なんとか日々を過ごしています。趣味はイラストとアナログゲーム。おうち遊びが得意なインドア派ですが、そろそろ旅行に行きたくなってきました。

最新記事 by Fu (全て見る)