あなたは「EDR」と「SOC」を知っていますか？～企業セキュリティーに今求められるもの～

作成日：2023/09/29

あなたは「EDR」と「SOC」を知っていますか？～企業セキュリティーに今求められるもの～

年を追うごとに、企業を狙ったサイバー攻撃が激化しています。
ランサムウエアやサプライチェーン攻撃によって企業規模に関わらず、業務の停止に追い込まれる企業も多くあります。
もはや、サイバー攻撃対策もBCP (Business Continuity Plan) の一つとして考えなくてはならなくなりました。

今の企業はどのようなサイバー攻撃対策を取るべきか、解説していきます。

多数の企業・組織がサイバー攻撃で業務停止に追い込まれる　

企業や組織を狙ったサイバー攻撃は年々増加し、その被害規模も拡大する傾向にあります。
IPA (独立行政法人情報処理推進機構) が毎年発表している「情報セキュリティ10大脅威」 (https://www.ipa.go.jp/security/10threats/index.html ) の2023年版においても、組織では1位から、ランサムウェア*による被害、サプライチェーンの弱点を悪用した攻撃、標的型攻撃による機密情報の窃取、の順でサイバー攻撃による脅威を挙げています。

*ランサムウエア攻撃：攻撃者が侵入させたマルウエア (ランサムウエア) によってディスク内のファイルが全て暗号化され、暗号化を解除するキーを身代金 (ランサム) として要求する攻撃手法。近年では、暗号化と同時に、攻撃者にファイルを転送して、機密情報の公開に対しても身代金を要求するなど、2重、3重の攻撃となっている。

この1～2年を見ても、実際に大手製造業や病院、港湾施設などがサイバー攻撃によって業務停止に追い込まれています。
これらの企業や組織の大半はランサムウエアによる攻撃によって被害を受けており、業務が元通りなるまで数カ月かかった企業や組織もあります。

増加、高度化する攻撃の背景にある、サイバー攻撃のビジネス化

サイバー攻撃は年々高度化し、ますます巧妙になっています。
その背景には、サイバー攻撃のビジネス化があります。
サイバー攻撃のアクター (攻撃集団) はマルウエアの開発部門や販売部門、企業のセキュリティーの脆弱 (ぜいじゃく) 性を調べてその情報を販売する部門など企業のように組織化されていると言われています。
アクターはダークネットを通しマルウエアや攻撃先の情報を販売し、資金を得ていることがわかっています。
つまり、誰でも高度なマルウエアと攻撃先情報を「購入」して攻撃できる状況になっているわけです。
さらに、これらのアクターは一部国家の支援を受けているところも少なくないとされています。

感染・被災することを前提としたセキュリティー対策も考える

このように高度化し、攻撃者も多様化する今、セキュリティー対策はますます重要となっています。
しかし、今までのような「守りの対策」、つまりウイルス対策ソフトや、セキュリティー機器・ソリューションの導入で守りきる、ということは難しくなってきています。

もちろん、守りのセキュリティー対策は重要です。
例えば医療機関や港湾施設へのサイバー攻撃はVPN機器の脆弱性をついて攻撃されましたが、いずれも脆弱性対策を備えた新バージョンのソフトウエアがリリースされていたといいます。
したがって、今まで通りの守りの対策はしっかり行っておかなくてはなりません。

しかし、脆弱性をゼロにするのはかなり難しく、したがって100%守り切るのも困難と考えるべきでしょう。
では、今後はセキュリティー対策をどのように考えれば良いのでしょうか。
その答えは、「感染や被害をいち早く検知して、速やかに対策する」ことです。

そこで今注目を集めているのが、EDR と SOC です。
EDR は Endpoint Detection and Response の略、つまりPCやスマートデバイスといった端末でいち早く異常を検知して対応を支援するツールです。
ログデータなどで異常を見つけたら速やかに通知するとともに、他に被害が広がらないような対策 (例えば端末のネットワークからの切り離し) などを行い、被害を最小限にとどめる仕組みです。

SOC は Security Operation Center の略で、セキュリティー専任の対応組織のことです。
ネットワークやセキュリティー機器、サーバーの監視などを行い、EDRセキュリティー異常が検知された場合に、影響の範囲を特定し、さらなる攻撃を速やかに阻止することが求められています。

EDR / SOC をサービスとして導入する

EDR はツールなので導入すれば良いのですが、SOC は組織のひとつであり、ITはもちろんのこと、セキュリティーに対する知見や経験を持つ人材が必要とされており、このような人材を集めて組織を作ることは容易ではありません。

では、どうすればいいのでしょうか。
その答えの一つが、当社が提供する「 Cotoka for Systems 」にあります。
「 Cotoka for Systems 」はITインフラの導入・構築から保守・運用・管理までをサブスクリプションの形で利用できるサービスです。
このサービスメニューの中に EDR / SOCを提供するセキュリティーサービスがあります。

セキュリティーサービス：EDR / SOC

エンドポイントの不審な挙動を検知し、サイバー攻撃の検出・分析を通して対応策をアドバイスする月額監視サービス

お客さまが利用されているPCなどにインストールされた EDR から集められたデータはクラウド上に蓄積され、それを当社が提供する SOC が常時監視、異常検知時には、感染拡大の防止や、影響範囲の特定、原因究明、そして供給的な対策など、さまざまな支援を行います。
知見も経験もある SOC をサービスとして利用することで、お客さま自身で SOC を持つことなく同様のセキュリティーレベルを確保することが可能になります。

情シスの業務改善にも貢献

サイバー攻撃手法もますます高度化され、今までは対策ツールやシステムを導入していれば、ある程度安心できましたが、今では攻撃からシステムを100%守り切るのは非常に難しい状況にあります。
したがって、「攻撃されて被害を受けた」場合の対応も考えておく必要があります。
セキュリティー対策の強化について今一度、考えてみてはいかがでしょうか。

ご紹介した当社サービス「 Cotoka for Systems 」

「 Cotoka for Systems 」はセキュリティーサービスだけではありません。
ITインフラのライフサイクル全てをサービスとして提供できるサービスですので、社内のITインフラ運営に関わる負荷を軽減し、DXなどに当てる人材を確保することもできますし、セキュリティーの強化も可能です。

ITインフラの運用負荷軽減とサービスレベルの向上、セキュリティー対策の強化を同時に図る　「 Cotoka for Systems 」。
お気軽にご相談ください。

Cotoka for Systems