Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

EDRとゼロトラストセグメンテーションの両方が必要な理由

Trevor Dearing
インダストリーソリューションマーケティングディレクター
Illumio Editorial
4月 29日、 2022
23分読む

エンドポイント 検出と対応 (EDR)製品をすでにお持ちの場合、イルミオが必要かどうか尋ねられることがあります。または、すでに イルミオを持っている場合、EDRがまだ必要かどうか尋ねます。

答えは、ゼロトラストセグメンテーション EDR製品が必要であるということです。イルミオとEDRは相互に補完し合い、サイバー攻撃に対するより堅牢な防御を構築します。

IllumioとEDRがどちらも不可欠なセキュリティツールである理由と、これらを組み合わせることで組織のサイバー防御がさらに強化される理由は次のとおりです。

NISTサイバーセキュリティの役割ごとに異なる製品

イルミオとEDRを比較する最良の方法は、サイバーセキュリティの最大のコンテキストを考慮することです。

イルミオとEDR製品は、サイバーセキュリティツールと実践に関する米国政府の公式標準である NISTサイバーセキュリティフレームワークで異なる役割を果たしています。NISTサイバーセキュリティフレームワークは、サイバーセキュリティ運用を最高レベルで組織する5つの機能を呼び出しています。これらの5つの機能は次のとおりです。

  • 識別する
  • 守る
  • 見付ける
  • 応じる
  • 回復する

EDR 製品は、その名前が示すように、検出と応答の機能をカバーしています。エンドポイントに対する不審なアクティビティや完全な攻撃を 検出 します。次に、不審なアクティビティや攻撃に対して是正措置を講じることで 対応 します。セキュリティ情報およびイベント管理 (SIEM) システムにアラートを送信し、ウイルス対策ツールをアクティブ化するプロセスを開始し、ファイルを削除または検疫し、これらのアクションまたはその他のアクションの組み合わせを実行する場合があります。

イルミオゼロトラストセグメンテーション は、サイバーセキュリティにおいて異なる役割を果たします。イルミオは、あるエンドポイントから別のエンドポイントに移動する攻撃者からネットワークを継続的に 保護 します。微妙な攻撃がエンドポイントで侵入し、最終的にはソフトウェアの脆弱性や ゼロデイ攻撃のために、どこかのエンドポイントで攻撃が侵入 した場合 、イルミオはアクセスを拒否し、組織のネットワークを横方向に移動するのを防ぐことで組織を保護します。

イルミオは、デフォルトですべてのネットワークトラフィックを拒否することで攻撃者の動きを制限します — これがゼロトラストセキュリティモデルです。代わりに、イルミオは、イルミオのリアルタイムアプリケーション依存関係マップを確認した後、セキュリティチームと運用チームが必要と判断したトラフィックのみを許可します。アプリケーション依存関係マップには、ビジネスクリティカルなアプリケーションが依存するネットワークパスが表示されます。

さらに、イルミオを使用すると、セキュリティチームは、多くのマルウェア攻撃に不可欠なネットワークプロトコルをブロックするポリシーを簡単に適用できます。たとえば、 2021 年第 3 四半期のランサムウェア攻撃のほぼ半数が RDP プロトコルに依存していました。RDPはもともとヘルプデスクのエージェントが従業員のコンピューターにアクセスできるように設計されましたが、最終的には攻撃者が組織内を通過するための裏路地の広範囲に開かれたネットワークとして機能しました。イルミオを使用すると、セキュリティチームはRDPやその他の危険なプロトコルを制限するポリシーをわずか数分で定義して適用できるため、攻撃に対する保護が大幅に強化されます。

エンドポイントが侵害された場合、イルミオは攻撃のさらなる拡大を防ぎ、システムとビジネスの可用性を維持します。EDR システムが攻撃を検出すると、自動化されたプロセスによって感染したワークロードがシャットダウンされ、隔離されます。 

  1. 攻撃は攻撃の時点で分離されます
  2. 攻撃はEDRまたはXDRによって検出されます
  3. 感染したワークロードは隔離されます
  4. インフラストラクチャ全体で適切なプロトコルがブロックされる

どのようなエンドポイントセキュリティツールを導入している場合でも、組織はゼロトラストセグメンテーションによって提供される保護も活用する必要があります。EDR および Extended Detection and Response (XDR) 製品は今日優れていますが、絶対確実というわけではありません。また、可視性はエンドポイント自体に限定されているため、EDR製品は、展開する多段階の攻撃を見逃すことがあります。言い換えれば、EDRツールは完全な保護を提供するわけではなく、検出さえ制限されることがよくあります。

EDR vs. XDR vs. イルミオ

EDR 製品は、定義上、マネージド エンドポイントでのみ実行されます。当然のことながら、脅威のエンドポイント中心のビューを提供します。

拡張検出と応答(XDR)製品は、電子メール、エンドポイント、サーバー、クラウドワークロード、ネットワークトラフィックを含むようにセキュリティ監視の範囲を拡大します。XDR製品は、脅威を分析するための相関データの広範なコレクションをセキュリティチームに提供することで、ステルス攻撃の検出を容易にします。たとえば、XDR 製品は、従来の EDR 製品では見逃される可能性のある多段階の攻撃を検出できる可能性があります。

しかし、XDR製品はIT活動をより広い視野で把握できますが、その作業はEDRと同じNISTサイバーセキュリティフレームワークの機能に分類され、検出して対応します。どちらのテクノロジーも、ゼロトラストセグメンテーションによって提供される保護のニーズを満たしていません。

EDR も XDR も、アプリケーションに関連付けられたすべてのトラフィックを体系的に分析する方法を提供するものではありません。そのビューを取得するには、イルミオのアプリケーション依存関係マップが必要です。また、EDRおよびXDR製品は、ゼロトラストセグメンテーションを大規模に適用するためのホストベースのファイアウォールルールを即座に生成することもできません。これらのルールを生成するには、イルミオの ポリシーコンピューティングエンジンにある機能が必要です。

イルミオは、攻撃者が操作する余地をほとんど残さないゼロトラストセグメンテーションポリシーで攻撃対象領域を減らすことで、EDRおよびXDR製品を補完します。

一緒により良く:EDRまたはXDRを備えたイルミオ

どのEDR製品やXDR製品を導入する場合でも、ネットワークをセグメント化し、ゼロトラスト制御を適用し、攻撃者がラテラルムーブメントに関与するのを防ぐための、高速で柔軟かつスケーラブルな方法が必要です。

ゼロトラストセグメンテーションのリーダーであるイルミオがどのように支援できるかについて詳しく知りたい方は:

関連トピック

エンドポイントセキュリティ

関連記事

マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択
ゼロトラストセグメンテーション

マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択

マイクロセグメンテーションツールを評価する際に何に注意すべきか、そして従来のアプローチが最新の環境でマイクロセグメンテーションを実現できない理由を学びます。

Read more
Black Hat 2023でのイルミオの3つのハイライト
ゼロトラストセグメンテーション

Black Hat 2023でのイルミオの3つのハイライト

今年のBlack Hatカンファレンスから、イベントの写真やビデオなど、重要なポイントをご覧ください。

Read more
ネットワークとセキュリティのセグメンテーション
ゼロトラストセグメンテーション

ネットワークとセキュリティのセグメンテーション

The Tailgating Security Podcast のこのエピソードでは、Alan Cohen と Matt Glenn が、ネットワークとセキュリティのセグメンテーションの違いについて話し合います。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more