EDRやハニーポットなどは、具体的にどこのどのような場所に設置するのですか？

質問

EDRやハニーポットなどは、具体的にどこのどのような場所に設置するのですか？

解答

良い質問です。EDR（Endpoint Detection & Response）とハニーポットは目的も運用も違いますが、どちらも「検知・対応」の重要ツールです。以下、具体的にどこに・どう置くべきか、実務で使える設置場所・配置方針・注意点を整理します。 1. EDR（エンドポイント検知／対応） 目的：各エンドポイントのプロセス／ファイル操作／ネットワーク接続／ログインなどを可視化し、マルウェアや侵害兆候を検出して対応する。 1.1 どこにエージェントを入れるか（必須・優先） 全てのユーザー端末（ノートPC、デスクトップ） → 一般ユーザが使う端末はマルウェミットやフィッシング被害の最前線。 サーバ類（ファイルサーバ、アプリサーバ、データベースサーバ） → 機密データやサービス停止リスクが高いので必須。 ドメインコントローラ / 認証サーバ（高優先） → 認証情報の盗難や横展開の危険度が高いため強力に監視。 VPN / リモートアクセス端点（踏み台になる） 開発環境 / CI/CDサーバ（サプライチェーン攻撃対策） クラウドVM / コンテナホスト（クラウドネイティブ環境にも必須） クラウドならホスト型のエージェント（Cloud workload protection）やクラウドログの連携。 特権管理サーバ（PAM / 管理コンソール）（超重要） OT/ICS機器（可能ならゲートウェイレベルで監視） レガシ機器には直接エージェントを入れられないのでゲートウェイ/ネットワークセンサで代替。 1.2 管理コンポーネントの配置 EDR管理サーバ（Console/Server）：オンプレならセキュアな管理ネットワークに設置。クラウド提供型なら専有アカウントで運用。 ログ集約（SIEM）との連携ポイント：EDR → SIEM（例：Splunk、ELK、QRadar）へ送る。SIEM は分離された監視ネットワークで稼働させるのが望ましい。 ネットワークプロキシ／プロキシ経由のアップロード設定：エージェントから管理サーバに通信する経路を確保（TLS, mTLS推奨）。 1.3 配置上の注意・ベストプラクティス 全端末に均一に導入：一部だけでは横展開で無意味に。 最小権限の通信ルール：管理サーバは限定されたIP/ポートからのみアクセス可能に。 ログ保管とバックアップ：侵害調査に耐えうる期間（規定）でログを保管。 チューニング：アラートの誤検知（ノイズ）を減らすために初期フェーズでルール調整。 パフォーマンス監視：古い端末だとエージェントが重くなるので影響を測る。 有事対応フローの準備：アラート → 自動隔離（quarantine） → 調査 → 復旧手順を定義。 2. ハニーポット（Deception） 目的：攻撃者の振る舞いを誘引して検知・分析する。誤検知が少なく早期発見に有効。 2.1 ハニーポットの種類（設置場所の指針） インターネット向けハニーポット（DMZ / 公開ネットワーク） 目的：外部スキャン・自動ボット・脆弱性スキャンの検出。 設置例：DMZの隔離VLANに配置。公開IPやダミーサービス（HTTP/SSH/RDP/SMB/SMTP）を用意。 ツール例：Cowrie（SSH）、Dionaea（マルウェア収集）、Honeytrap 等。 内部ネットワークのハニーポット（内部セグメント） 目的：侵入後の横展開や内部不正の早期検出。 設置例：業務ネットワークの隣接VLANに置き、ダミーのファイル共有・管理用端末を見せる。 効果：内部の不正行為（資格情報盗用、横展開）を検出。 高対話型ハニーポット（仮想マシン） 目的：攻撃者を長時間引き付け詳細な手口を収集。 注意：攻撃者に利用されて踏み台にされないように強力な隔離が必須。 低対話型ハニーポット（ポート/サービスだけエミュレート） 目的：軽量で広範な検出。運用コスト低め。 例：Honeyd、Tarpit。 IoT/OT専用ハニーポット 目的：工場やOT機器を狙う攻撃の検出。Conpotなど。 2.2 どのサブネット／VLANに置くか（具体例） DMZ（公開向け）：外部スキャンを監視する目的で、実サーバとは別VLANで公開。 ユーザーワークステーションの隣接VLAN：内部での横展開を検出。 管理ネットワークからは分離：ハニーポットは監視専用のVLANに置き、管理ネットワークからは厳格にログ受信のみ許可。 クラウド環境：パブリックサブネットにハニーポットを配置し、クラウドログ（Flow logs）と組合せて分析。 2.3 設置上の注意 明確な隔離：攻撃者がハニーポットから外部へ踏み台にできないようにアウトバウンド制御を徹底（レート制限やブラックホールルール）。 実データを使わない：実アカウントや本番データを絶対に置かない（リーガル・プライバシー）。 監視とアラート化：ハニーポットのイベントは高価値アラート。SIEMへの集約を必須に。 法的問題の確認：高対話ハニーポットでの通信傍受や情報取得は法域によって制限の可能性あり。 3. 両者の連携（EDR × Honeypot） ハニーポット検知 → EDRで関連端末を調査/隔離：ハニーポットに接触したソースIPやユーザをEDRログで相関付け。 EDRのアラートでハニーポット誘導：疑わしい内部ホストの挙動があれば、ハニーポットへ誘導するトラップを展開（動的デコイ）。 SIEMで相関分析：EDRログ・ハニーポットログ・ネットワークフローをつなげる。 4. 監視すべき代表的プロトコル／ポート（ハニーポットで擬似公開すると有効） SSH 22, RDP 3389, SMB 445, NetBIOS 137-139, LDAP 389/636, HTTP 80/443, SMTP 25, MySQL 3306, MSSQL 1433 など。 （これらは攻撃者に狙われやすいので検出効果が高い） 5. 運用の現実的なチェックリスト（導入時） 目的定義（外部スキャン検出か内部横展開検出か） 影響範囲設計（VLAN・ネットワークACLで隔離） 選定ツール（EDR製品、Cowrie/Dionaea/Conpot 等） SIEM連携（ログ形式、Syslog/TLS転送の整備） アラート運用ルール（優先度・対応フロー） 権限／法務チェック（高対話は法的確認） 定期チューニング（誤検知削減、サイレンスルールの調整） レポートと改善サイクル（検出→対応→対策のPDCA） 6. まとめ（要点） EDRは“すべての重要端末（エンドポイント）”に入れるのが基本。特にドメインコントローラ・認証系・VPN・特権サーバは高優先。 ハニーポットは用途で置く場所が変わる：外部攻撃を知りたいならDMZ、内部侵害の早期検出なら内部VLAN。いずれも厳格な隔離とSIEM連携が必須。 両者は相互補完：ハニーポットは早期発見とIOC収集、EDRは被害範囲の調査と封じ込めに有効。 運用（チューニング・法務・ログ保管）が成功の鍵。

日経ITエンジニアスクール Active Directory 最強の指南書【電子書籍】 価格:2640円 (2025/9/26 09:21時点) 感想(0件)

既読スルー、被害者ポジション、罪悪感で支配 「ずるい攻撃」をする人たち （青春新書インテリジェンス） [ 大鶴和江 ] 価格:1155円 (2025/5/26 10:11時点) 感想(6件)