まったく問題ないですよ。今回は「Detection ＆ Response（検知と対応）」について少し詳しく知りたいんだよね。

なるほど。そのお客さまは「EDR（Endpoint Detection ＆ Response）」製品はすでにお使いなのかな？

なぜ、お客さまのEDR製品が、EDRのソリューションではないと感じたの？

なるほど、確かにEDRは沢山のメーカーからリリースされていて、持っている機能も様々だから、EDRとしては不十分と言えるような製品があってもおかしくないね。そして、「Detection & Response」ソリューションに求められる要件についてだけど…。

吉川さんはすでに知っていると思うけど、「Detection & Response」のソリューションは、AI（人工知能）を使った最近のウイルス対策ソフト（＝次世代型ウイルス対策ソフト：NGAV）や次世代型ファイアウォール（NGFW）のようなサイバー攻撃による脅威の侵入を防御するソリューションではなく、内部ネットワークに侵入した脅威を検知し、対応するための仕組みだ。

そのとおり。サイバー攻撃のプロセスで言えば、攻撃者はマルウェアを通じてターゲット組織の端末を乗っ取り、遠隔から操作しながら、ネットワーク内部でマルウェアの感染を広げたり、偵察をしたり、管理者権限を窃取するといった内部活動を展開する。そうした内部活動を早期に検知して、対応するための仕組みが、EDRなどの「Detection & Response」ソリューションということになる。それを図で表すとこうなるね。

そこで吉川さんに質問です。EDRなどのソリューションによって、何らかのセキュリティインシデントの発生がとらえることができたとする。それに適切に対応するうえでは、何が必要になるでしょう。

そう。脅威の検知に加えて、そうした調査と分析を速やかに行えるようにすることが「Detection & Response」ソリューションの本質といえる。そして、そのソリューションを実現するうえでは、ログを過去に遡りながら調査し、マルウェアの感染源を突き止め、そこからどのような経路をたどって、どのように感染が広がり、インシデントの発生につながったかを調べ上げなければならない。言い換えれば、「Detection & Response」では、遡及調査と分析によってインシデント原因を突き止めて整理し、恒久的な対応策につなげることが大切で、「Detection & Response」のソリューションには、それを支援するための仕組みとして、インシデント対応に必要なログをきちんと記録し参照できることが非常に重要なんだ。

うーん、おそらく、そのお客さまが使われているEDRは、NGAV製品をEDR製品と称して販売しているものかもしれない。実は、そうした製品は意外と多くて、それが原因でEDRソリューション、あるいはEDRソリューションの要件に対する誤解がお客さまの間で多く見受けられているんだ。

そうだね。

まず、「Detection」の部分は、適切なEDR製品を選ぶことで自動化されるので、そこには知識やスキルは必要とされないと見たほうがいい。

そうだね。「Response」に関しては、例えば、EDRのソリューションが発した多くのアラートの「真偽判定」を行ったうえで、問題端末をネットワークから隔離したり、各種のログ（Active Directoryなどの認証ログ、FWログ、プロキシサーバログ、ファイルサーバログ）を確認したりする必要がある。

最低限必要とされるのは、最新の脅威や脆弱性に対する相応の知識とともに、アラートやログを分析するスキルが必要とされる。ただ、最近のEDRやNDR（Network Detection & Response）の中には、問題端末をネットワークから隔離する作業を支援してくれる製品も多いので、利用する製品によっては、必要となるスキルレベルを抑えることができるようになっていることもあるね。。

そのとおりです。