テレワークにはさまざまなメリットがある一方、オフィスに比べてセキュリティ対策が不十分な環境でパソコンが使われることも多々あります。このため、サイバー攻撃やマルウェア感染の被害に遭うリスクが高まる傾向にあるほか、インシデントが発生したときに調査が難しいといった課題もあります。このような課題の解決策として期待されているのが「EDR」（Endpoint Detection and Response）です。このEDRについて、NRIセキュアテクノロジーズの伊藤耕介と正木健介が解説します。

テレワークで使われているパソコンがサイバー攻撃の標的に

新たなワークスタイルとして、オフィスではなく自宅で作業を行うテレワークが定着しつつあります。このテレワークには、通勤時間を省くことが可能で、それに伴ってワークライフバランスが改善するなど、さまざまなメリットがあります。一方、注意しなければならないのは、テレワークで使われているパソコンを狙ったサイバー攻撃です。NRIセキュアの正木健介は、ある企業で実際に発生した、テレワーク中の従業員のパソコンを狙ったサイバー攻撃について説明しました。

「Windowsには、ネットワーク経由でパソコンを遠隔操作するためのRDP（Remote Desktop Protocol）と呼ばれる仕組みが組み込まれています。最近のサイバー攻撃では、このRDPを悪用してインターネット経由でテレワーク中のパソコンに侵入を試みるケースが多くみられました。セキュリティ対策を適切に行っているオフィスであれば、従業員が使っているパソコンに対して外部からRDPで侵入されるケースはまれです。しかしこの事例では、従業員の自宅にあるブロードバンドルーターが古く、セキュリティが不十分だったため、外部からパソコンに直接RDPで侵入を試みることが可能だったようです」

このようにサイバー攻撃が発生した際、具体的にどのような被害が発生したのかを調査する必要があります。オフィスで利用するパソコンであれば、通信経路上にファイアーウォールや、プロキシと呼ばれるサーバーを設置し、通信内容をログとして記録することが一般的です。

テレワークでも、社内ネットワークにVPNで接続していれば通信ログを取得することが可能です。しかし作業中は必ずVPNで接続しているとは限らないほか、プロキシのログに記録されるのはインターネット上のサーバーなどと通信した内容のみであり、パソコン内部で何が行われた事象まで把握することはできません。こうした課題の解決策として、昨今広まっているのが「EDR」です。

自宅や外出先で使われるパソコンの挙動を把握できるEDR

このEDRについて、NRIセキュアの伊藤耕介は「ネットワークに接続されている、パソコンなどのエンドポイントにおけるユーザーの操作や、バックグラウンドで実行されているプログラムの監視と記録などを行うほか、攻撃を受けた場合にはネットワークからの隔離といった対処を行うためのソフトウェアです」と説明し、次のように続けました。

「EDRを利用することにより、マルウェアの感染やサイバー攻撃の発生をいち早く検知できる可能性があるほか、マルウェアや侵入者の活動がログとして記録されるため、後から攻撃内容を分析する際にも有効です」

このEDRは、テレワーク環境で使われるパソコンのセキュリティ強化のためのソリューションとして、多くの企業が注目していると伊藤は語ります。

「テレワークの普及により、多くのパソコンを従業員の自宅に配置せざるを得ない状況になっています。しかし従来のセキュリティ対策だけでは、テレワーク環境で使われるパソコンを十分に保護できません。そこで個々のエンドポイントでのセキュリティ対策の強化に向けた動きが加速し、EDRに注目する企業が増加しています」（伊藤）

ゼロトラストセキュリティ実現のカギを握るEDR

このEDRは、新たなセキュリティの考え方として広まっている「ゼロトラストセキュリティ」の実現においても重要なソリューションだと認識されています。

従来のセキュリティ対策は、守るべき情報資産やサーバー、パソコンが社内ネットワークにあることを前提に、インターネットとの境界でセキュリティ対策を講じる「境界型防御」が前提となっていました。しかしクラウドが普及し、テレワークが一般的になりつつある現在、守るべきものが社内ネットワークにあるとは限らず、境界型防御では十分に保護できなくなっています。

「そこで広まったのがゼロトラストセキュリティモデルで、これはすべてのユーザーやデバイスなどを信頼できないものとして捉え、情報資産やシステムへのアクセス時に正当性や安全性を検証することでマルウェア感染やサイバー攻撃の脅威を防ぐ考え方です」（正木）

ただ、EDRの導入には注意すべき点があると正木は説明します。

「たとえばEDRと相性の悪いアプリケーションが使われていて、EDRがうまく動作しないといったケースがあります。また企業によってパソコンの使い方は千差万別であるほか、EDRで取得したログを送信するネットワークの設計など、導入時に検討すべきポイントはいくつもあり、事前にしっかり調査を行って導入することが重要です」

なおNRIセキュアでは、EDR導入を支援する体制を整えているほか、EDR製品の有効活用で重要になるログ監視をサポートする「マネージドEDRサービス」も提供しています。EDR製品を開発するCrowdStrike社から日本で最も貢献したエンジニアとして表彰された正木や、幅広い経験と深い知見を持つ伊藤をはじめとしたEDRの専門家がそろっており、EDRの導入から運用までを手厚くサポートしています。