クラウドネイティブを学ぼう!

Linux EDR(エンドポイント検知と対応)とは?

SHARE:

Linuxエンドポイント検知・対応(EDR)とは、システムエンドポイントにおける潜在的な脅威検知のための一連のセキュリティ技術であり、不審な動作(EDRと同様)を監視・検出しますが、Linuxをオペレーティングシステムとするシステム向けに設計されています。

この文脈において、エンドポイントとは、ネットワーク上で固有の識別子を持つあらゆるデバイスを指します。エンドポイントには、物理的なPCやサーバー、仮想マシン、モバイルデバイス、さらにはIoTデバイスも含まれます。基本的に、ネットワークに接続可能なものはすべてエンドポイントとなります。

Linux EDRの仕組み、防御可能な脅威の種類(および防御不可能な脅威)、そして広範なサイバーセキュリティ戦略におけるLinux EDRの役割について、引き続きご覧ください。

EDRとは?

前述の通り、Linux EDRはEDRを基盤としていますが、Linuxオペレーティングシステム向けに設計されているため、両者の特性は共通しています。

どのようなセキュリティリスクを検知できるのか?

エンドポイントを監視することで、以下のような様々なセキュリティ脅威やリスクを検知し、対応することが可能です:

  • マルウェア。攻撃者がターゲットシステムにインストールに成功した悪意のあるソフトウェアです。マルウェアは、異常なシステムプロセスやネットワーク接続を監視することで検知できる場合が多くあります。
  • ソフトウェアアプリケーションやパッケージ内の脆弱性。EDRツールは既知の脆弱性をスキャンして検出できます。
  • クリプトジャッキングソフトウェア。異常なネットワークプロトコルや接続パターンによってその存在が明らかになる場合があります。
  • 悪意のある内部関係者。システム内での活動をEDRで監視し、重要データの削除やコピーなどの行為を検出できます。
  • 侵害されたユーザーアカウント。EDRツールは異常なアカウント活動を監視することで特定できます。

このリストはさらに続く可能性がありますが、これらはEDRが特に検出に優れた、最も一般的なセキュリティ問題の種類の一部です。

EDRの利点

EDRは、現代のIT環境において最も重要なリソースの一つであるエンドポイント内のリスクを検出するのに役立つため、現代のサイバーセキュリティの基盤となります。

エンドポイントが侵害された場合、そのエンドポイント上でホストされているワークロード(アプリケーションやローカルに保存されたデータなど)は危険に晒されます。さらに、侵害されたエンドポイントは攻撃者が他のエンドポイントへの侵害を拡大するための足掛かりとなる可能性があるため、エンドポイントのリスクを早期に検出することは、攻撃の影響を最小限に抑えるのに役立ちます。

EDRの限界

EDRには重大な制約がある点にご留意ください:

  • エンドポイント専用であるため、特定のエンドポイントに紐づかないAPIなどの他のリソース保護には有効ではありません。
  • EDRはエンドポイントからの基本ログやメトリクスへのアクセスを前提としており、常に可能とは限りません。例えば、クラウド上のFunctions-as-a-Serviceをご利用の場合、通常エンドポイントデータにアクセスできないため、ワークロードの保護にEDRを活用することはできません。
  • 高度な攻撃はEDRの検知技術を回避する可能性があります。例えば、巧妙に設計されたマルウェアは、正当なプロセスを装って動作することで自身を難読化し、EDRツールによるリスク検知を困難にすることがあります。

これらの理由から、EDRは現代のサイバーセキュリティ戦略の一要素に過ぎません。EDRは多くの種類の脅威に対する重要な基盤的保護を提供しますが、存在する可能性のあるあらゆる潜在的なリスクを網羅するものではありません。

Linux EDRとは?

Linuxエンドポイント検出および対応(Linux EDR)とは、Linuxベースのサーバー、PC、その他のデバイスを保護するためにEDRの実践手法を活用することです。

Linux EDRは、エンドポイント環境からのデータを分析してリスクを検出するという点において、他のタイプのエンドポイント向けEDRと多くの点で類似しています。ただし、Linux EDRの主な特徴は、Linux EDRツールが依存するデータソースの種類にあります。

異なるLinuxディストリビューションが処理するデータの種類には多少の差異がありますが、ほぼ全てのLinuxシステムは、EDRソリューションが監視可能な以下のコアデータタイプを生成します:

  • Syslog:各Linuxエンドポイントに存在する中央ログファイルで、オペレーティングシステムおよびアプリケーションのイベントを記録します。
  • Auth.log:認証イベントを記録するログファイル。
  • Cron.log:Linuxシステム上でプロセスやコマンドを定期的に実行するツール「cron」に関連するイベントを記録します。
  • パッケージ管理ソフトウェアが生成するログ:ソフトウェアのインストール、アンインストール、更新イベントを記録します。(具体的なログファイルは、Linuxシステムが使用するパッケージマネージャーによって異なります。)

LinuxシステムにはEDR目的に利用可能なその他のログファイルも多数存在しますが、上述したものがLinux EDRにおいて最も重要なログファイルとなります。

ログファイルに加え、Linux EDRソリューションはセキュリティ関連情報を取得するため、以下のような多様なデータソースを監視することが可能です:

  • 実行中のプロセス
  • どのネットワークポートが開いており、どのホストが接続されているか。
  • システム上に存在するユーザーおよびグループアカウント、ならびにそれらの権限。
  • ファイルシステムのアクセス制御権限。
  • 各ユーザーが実行したコマンド。

これらのデータソースを継続的に分析し、必要に応じて相互に関連付けることで、Linuxベースのエンドポイントに影響を与える可能性のある様々な種類のセキュリティ脅威を特定することが可能となります。

Linux EDRの事例

Linux EDRが実際にどのような意味を持つのかを理解するために、検出に役立つセキュリティ脅威の事例をいくつか見てみましょう。

悪意のある内部関係者検知

例えば、不満を抱えた従業員が、会社に損害を与える目的で、Linuxサーバーに保存されている重要なデータを削除しようと決めたとします。この従業員(既にサーバーへのアクセス権限を有しています)は、ログイン後に以下のようなコマンドを実行します:

rm -rf /path/to/critical/data

このコマンドはLinuxにデータを削除するよう指示します。サーバー上の活動を監視することで、Linux EDRソリューションはこのコマンド(またはデータの突然の消失)を検知し、異常としてフラグを立てることが可能です。その後、エンジニアにこの活動を警告し、バックアップが上書きされる前に直近のバックアップからデータを復元できるよう支援します。

悪意のあるアクセス試行

先述のシナリオの変形として、不満を抱いた従業員がアカウント削除により特定サーバーへのアクセスを禁止された状況を想定します。しかし、依然として混乱を引き起こそうとする従業員は、他のユーザーのアカウントパスワードをブルートフォース攻撃で試行し、サーバーへのログインを試みることを決意します。ブルートフォース攻撃とは、異なるパスワードの組み合わせを繰り返し試行してログインを試みる行為を指します。

Linux EDRツールはサーバーのauth.logファイルを継続的に監視することで、繰り返されるログイン失敗を検知し、不審な活動を明らかにします。

マルウェア検知

Linux EDRの最終的な例として、LinuxベースのPCを使用する従業員が、フィッシングメールに騙されてPCに悪意のあるアプリケーションをインストールした場合を想定します。

Linux EDRツールがソフトウェアインストールイベントを監視するように設定されている場合、マルウェアのインストールを検知する可能性が高いです。また、EDRツールがパッケージインストールログを監視していない場合(またはマルウェアがパッケージを使用せずにインストールされた場合)でも、新規かつ異常なプロセスの検出や、syslogの異常イベント監視を通じて、マルウェアが実行された時点で特定できる可能性が高いです。

このような監視を通じて、ツールはエンジニアに潜在的なマルウェアの存在を警告することができ、重大な侵害が発生する前に適切な対応を取ることが可能となります。

結論

お客様のIT環境にLinuxエンドポイント(サーバー、PC、さらにはIoTデバイスを含む)が含まれる場合、Linux EDRはサイバーセキュリティ対策において不可欠な要素となります。Linux EDRは様々な脅威を検知し、Linuxベースのシステムが侵害される前に、お客様が積極的に対応できるよう支援いたします。