最近、ランサムウェア被害増えているから気になっている人多そう。
クラウドストライク/EDRの口コミ、評判、体験レポート探してもあまりありませんね。
EDRって?
>パソコンやスマートフォンなどのエンドポイント端末を監視し、不審な振る舞いを検知して対処するためのツールやサービス
ウイルス対策ソフトみたいなセキュリティ製品は、パターンマッチなど、確度の高い脅威を対策するのに対し、EDRはそれよりも確度の低い脅威も検出できるツールです。
脅威というか、それらしい動作を察知し、警告を管理者にしてくれたりします。
クラウドストライク障害の一件を見て、EDRは危険と思っている人もいるかもしれません。EDRに限らず、セキュリティ関係ソフトはOSの深い部分で動いているソフトが多いです。だから、ソフトに欠陥があると被害が大きくなりがちです。
でも、通常は影響力大きいから、ソフトのバージョンアップなどは慎重に行い、他に影響を与えないようにしています。他EDR各社は当然慎重にしていると思います。
しかし、クラウドストライク社はそのテスト工程を慎重に行っていなかったと考えられます。当然、障害の痛い経験を経て、慎重にテストをするように変えたと思いますが、そこは中を知らないので、私にはわかりません。
ということであの障害を見て、それほどEDRを恐れることはないと思います。
と、ここまで聞けば、良さげ。実際には事前警告を敏感にすると、「かもしれない」ものにも反応してしまいます。
つまり、実際には何ら危険じゃないものも(グレーゾーン)、誤認して警告される可能性があります。
なければいい?そうとも言えず、、、、
地震に例えていえば、地震の可能性が少しでもあったりすると警告されるわけです。
例えば8月に南海トラフ地震の可能性がちょっと会っただけで警告が出ました。
実際にはそんなことなく、
「騒ぎすぎ」
「可能性がちょっとでもあれば教えてもらうのは助かる」
と賛否両論ありました。
よかった?わかりません。どう思うか人それぞれでしょう。
最初は大騒ぎ。でも、こんなこと繰り返していると 「またか!?」となり気にしない人も出るかもしれません。
EDRが良いか、否かはこの例と同じことです。
EDRに張り付いて、監視する余裕のある組織ならいいかもしれません。
でも人に余裕がなかったり、ひどい場合には一人情シスみたいな感じだと、、警告が出てもいちいち調査することもなく(調査できない?)、「またか、うるさいなー」となるかもしれません。
AIのLLMでセキュリティ診断機能が付いたものもありますが、ちょっと触った感じ、間違った診断をすることもあり、将来はわかりませんが、現段階ではまだ不十分かな、という印象。
アイデア出しには使えますけどね、、、全部AIが答えまで導いてくれるのではなく、AIが出した案をヒントの一つとして、「現段階では」、人間が最終判断するような感じ。
将来はわかりませんけどね
ついでにEDRもソフトは高価なので、せっかくそんなにお金出しているのに、あまり意味ないということになるかもしれません。
EDRが必要かどうかは組織体制次第なので、何とも言えません。ケースバイケースです。
お金と人員などのリソースに余裕があるかどうかでしょう。
自社に人員がいない場合、外部企業に監視を任せることもできますが、高いです。
1月に数百万円かかるかも。
そこまでお金をかけても守るべき情報があるかどうか、、、何とも言えませんね。
回答としてはメリットもデメリットもある。自分の財布と組織体制を見て必要性を判断してください ですね。
とりあえず、一回ぽっきりでお金を払えば、あとは何もしないでも大丈夫というものではなく、その後も継続的に監視が必要で、IT関係のソフト全般にかかるものですが、値段表には書いていなくても、今後の各種サポートのためには、「保守契約」を結んで、毎年「保守契約料」がかかります。ソフト代金の約20%
そんなの必要ないだろうと思う人もいるかもしれませんが、継続的なバグ修正やOSバージョンアップへの対応を考えると必須だと思っています。
スマホとか数か月おきにOSバージョンアップしてそのたびに修正対応必要なこともありますからね。
ドカンと大きいソフト買う以前に、今まで書いたような地味だけど、細かい日常の管理が重要だと思いますね。
逆にその辺がきちんとしていないのに、一部分だけ力入れてもあまり意味ないような…
