PCウイルス侵入後の検知と対処方法のトレンドとは？

企業の情報システムは常に脅威にさらされています。様々な対策が必要ですが、近年ウイルス対策ソフトだけでは、企業のPCやサーバへの攻撃対策としては十分ではなくなってきています。

PCウイルス侵入後の検知と対処とは

PCウイルス侵入後の検知と対処はEDR（Endpoint Detection and Response）と呼ばれています。EDRとは、パソコンなどエンドポイントがサイバー攻撃を受けることを前提とし、セキュリティ脅威の検知や除去などの初動対処を円滑に行い、最小限の被害に抑えることを目的としたセキュリティ対策製品の総称です。どんなに対策をしてもエンドポイントは攻撃を受けるため、EDRでは、エンドポイントは攻撃を受けることを前提として、マルウェアの検知や除去などの初動対策をスムーズに行うことを目的としています。様々な製品がEDR向けに提供されています。一番有名な製品はMicrosoft Defender for Endpointとなります。

それぞれの製品でできることは異なりますが、主に下記のようなことができる製品が多いです。

1. エンドポイントのログを解析して攻撃を検知する
2. 管理する全てのエンドポイントの状況を管理画面でモニタリングできる
3. ネットワーク全体の各エンドポイントをリアルタイムに監視できる

ウイルス対策ソフトとの違いは？

ウイルス対策ソフトは「ウイルスの侵入を止めること」が主な目的となります。したがって、EDRとは全く別の役割となります。どちらか一方だけ行えば良いということではなく、ウイルス対策ソフトとEDRの両方を利用して、ウイルスなどの脅威となるものの侵入を防ぐことと、侵入後の検知と対応を迅速に行うための備えとしてEDRの導入が必要となります。

Microsoft Defender for Endpointとは

Microsoft Defender for Endpointとはクラウドで運用される総合的なエンドポイントセキュリティソリューションです。様々な機能がこの製品には含まれています。例えば、エンドポイントでの不正検出と対応、脆弱性管理と評価、巧妙化した脅威やマルウェアの阻止、様々な外部からの攻撃を検出して対応するための行動監視等があります。Microsoft Defender for EndpointはWindowsのOSだけでなく、MacやLinux、iOSやAndroidなどもカバーしている。これらの対象に対して脆弱性や最新のバージョンにアップデートしていない端末の確認も行うことができます。

Microsoft Defender for Endpointの特徴としては、Windows OS がインストールされた世界中の端末から収集された膨大なセキュリティ情報とMicrosoft社のセキュリティスペシャリストによる分析結果を、「Microsoft Threat Intelligence」に集約し、Microsoft Defender for Endpointに反映しているところです。それにより、最新の脅威を迅速に把握し対策を講じることが可能です。Microsoft社の持つ膨大なデータとセキュリティ専門家によりバックアップを受けることができるとイメージするとわかりやすいと思います。従来のウイルス対策ソフト等では検知することができない未知の脅威に対して、エンドポイントのふるまいにより感染を迅速に検知し、被害を最小限に抑えることができます。これらのMicrosoft社から提供される機能により、情シス担当者の普段の運用ではMicrosoft Defender for Endpointの管理画面でアラートの監視、調査がメインになります。自ら様々なことを調査せずとも、管理画面に情報が集約されてくるというのもMicrosoft Defender for Endpointの特徴です。

企業でのセキュリティ対策をはじめ、情シスに関するお悩みの相談も承っております。少しでも興味をお持ちいただいた方は下記からお気軽にご連絡ください！

情シスフォース｜中小・中堅企業に上場企業レベルの情シスを！