エンドポイントセキュリティとは?

Sophos Endpoint Security ソフォス ランサムウェア レポート

今日のエンドポイントセキュリティは、組織のインフラストラクチャや機密データにアクセスする可能性のある、数えきれないほどのエンドポイントデバイスを管理する必要があります。これは、サイバーセキュリティ各社に共通する課題です。接続デバイスのセキュリティ状態の変化を監視し続け、安全性を万全に保つにはどうすればよいのでしょうか。

エンドポイントセキュリティについて

エンドポイントセキュリティとは、組織のシステムやインフラストラクチャに接続する業務用デバイスやエンドポイントを守るためのサイバーセキュリティの仕組みです。

エンドポイントには、以下のようなものがあります。

  • ノート PC
  • スマートフォン / モバイルデバイス
  • タブレット
  • IoT 対応デバイス、その他の接続デバイス
  • POS (Point-of-Sale) システム

これらのエンドポイントはすべて、悪質なアクティビティの標的になる可能性があります。保護されていないエンドポイントは、ウイルスやマルウェアはもちろん、ビジネスメール詐欺や、アカウントの乗っ取りまで、あらゆる被害に遭う可能性があります。

クラウドコンピューティングやリモートワークが主流になる前、セキュリティ担当者にとって最大の懸念は、ネットワークを経由したのセキュリティ侵害でした。しかし、今日ではエンドポイントの侵害が脅威の発端となるケースが多くなっています。攻撃が巧妙化するなかで、「ネットワークの集中的保護」というこれまでのアプローチでは通用しないのは明らかです。現在の課題は、変化し続けるセキュリティ境界を定義して保護するとともに、エンドポイント保護によってセキュリティを徹底することです。

エンドポイントセキュリティが重要な理由

企業の規模に関わらず、あらゆる企業がエンドポイントの侵害に遭うリスクがあります。エンドポイントの設計によっては、社内のデスクトップコンピュータと同じ保護レベルを備えていないものもあり、このようなエンドポイントはサイバー攻撃の標的になりがちです。リモートワークが増えるなかで、組織ネットワークの境界線には日々、新しいタイプのエンドポイントが追加され続けています。特に、個人所有のモバイルデバイスを業務に利用する場合、社内のセキュリティチームでは管理しきれない場合があります。セキュリティ管理担当者がすべてのモバイルデバイスのセキュリティ状態を常時チェックすることは難しく、データを安全に守れているという確証が得られません。

エンドポイントセキュリティは、エンタープライズネットワークを保護してリスクを軽減するために組織が真っ先に取り組むべきサイバーセキュリティの最前線です。

エンドポイント管理とは?

エンドポイント管理とは、組織ネットワークへのアクセスやデータ保存を行うすべてのエンドポイントを管理、保護する手順のことを指します。通常は、統合エンドポイント管理プラットフォームが使用されます。すべてのエンドポイントのセキュリティが最善の状態であるよう常時徹底することが、エンドポイント管理のあるべき姿です。そのために、組織全体のすべてのエンドポイントを常時評価しながら、アクセス権を割り当てて監視する作業が必要となります。

エンドポイント管理は、ネットワーク管理者や情報セキュリティ担当者など、さまざまな部門の共同責任となっているのが一般的です。効果的なエンドポイント管理ソリューションには、以下の機能が求められます。

  • アクセス制御: 認証、承認されているデバイスのみがエンタープライズネットワークに接続できるようにします
  • セキュリティポリシーのコンプライアンス評価: 承認されているデバイスが、どこにあるかに関わらず、該当するセキュリティポリシーに必ず従うようにします
  • 完全な可視化: 情報セキュリティ担当者がダッシュボードやコンソールを使って、あらゆるエンドポイントデバイスの監視や管理操作を一元的にリアルタイムで行います
  • エンドポイントの制御、設定、保守: エンドポイントの保護機能をリモートから設定し、ソフトウェアのアップグレードを定期的に行います

エンドポイントセキュリティの一般的なリスク

データの流出、紛失、盗難は、ネットワークでもエンドポイントでも起こる可能性がありますが、エンドポイントのほうが、攻撃やその他の原因によるデータ流出が発生しがちです。特に、サーバーやデスクトップコンピュータと比べ、ノート PC やスマートフォンなどのエンドポイントは紛失や侵害に遭うことが多く、故意か過失かに関わらず、企業データの流出が頻発しています。

一般的なサイバーセキュリティ攻撃としては、以下のようなものがあります。

  • デバイスへの不正アクセス: フィッシングやソーシャルエンジニアリング攻撃によって、認証情報が盗まれたりアカウントが乗っ取られたりして、デバイスが侵害されます。
  • マルウェアまたはランサムウェア: 悪質なランサムウェアソフトは主にメールを使用して、標的を絞った攻撃を展開し、エンドポイントを感染させたり、「人質」にとって身代金を要求したりします。
  • 脆弱性や設定ミスを利用したアクセス: ソフトウェアの脆弱性は、いわばネットワークへの門戸を開いているようなものです。一方、ソフトウェアやセキュリティの設定ミスは、つけこむ隙を攻撃者に与えているようなものであり、個々のエンドポイントに忍び寄られる原因となります。

エンドポイント攻撃では、上記の手法が単体だけでなく組み合わせて使用されることもあります。サイバー攻撃は巧妙化が進んでおり、複数のテクニックを連係させて、組織のアプリケーションやシステムに忍び込みます。そのために、エンドポイントが突破口としてよく利用されますが、攻撃者の真の目的は、企業の機密データを盗み出すことです。

統合エンドポイント管理とは?

統合エンドポイント管理 (unified endpoint management: UEM) とは、サイバーセキュリティツールの一種であり、セキュリティ担当者が単一コンソールを使って、あらゆるエンドポイント上で社内リソースやアプリケーションの管理、保護、導入をできるようにするものです。

UEM を使えば、従来のモバイルデバイス管理に加え、モバイルアプリケーションの管理も行えます。UEM にはあらゆる管理機能が統合されているため、管理者はすべてのエンドポイントの状態を確認することが可能です。また、企業ネットワークに接続している管理対象デバイス上で企業データやアプリケーションがどのように使用されているかを把握できます。

リモート勤務する従業員が増え、企業への IoT テクノロジーの導入が進むなかで、統合エンドポイント管理は新種のデバイスにも対応できるよう今後も進化し続けることが予想されます。IT 部門は UEM ツールおよびプラットフォームを使うことで、リモートワーカーを短時間でサポートし、ファイアウォールの外から企業データにアクセスする従業員デバイスを守ることが可能となります。

EDR (Endpoint Detection and Response) とは?

エンドポイントの検出と対応 (Endpoint detection and response)  は EDR とも呼ばれ、エンドポイントのウイルス対策の進化系とみなされています。UEM の主要コンポーネントである EDR は、サイバー脅威を早い段階で検出して対応することを目標として見据え、エンドポイントデバイスのセキュリティ状態を常時監視することに重点を置いています。特に、ランサムウェアやマルウェアなどの脅威に対処する方法として、広く活用されています。

主な EDR ツールには、企業のファイアウォールの内外にある多様なエンドポイントに対応し、あらゆるセキュリティイベントを分析して疑わしいアクティビティを特定する機能があります。理想的には、アラート生成機能があり、セキュリティ運用アナリストが問題を発見、特定、調査、修正するのに役立つようなものがよいでしょう。また、セキュリティイベントから、関連性のあるテレメトリデータをすべて収集する機能も必要です。特に高度な EDR ソリューションの中には、こうしたテレメトリデータに加えて、相関イベントのコンテキスト情報を利用できるようなものもあります。

EDR は、インシデント対応にかかる時間を短縮し、的確な情報に基づいて迅速に対処するために役立ちます。EDR は、脅威が支配的になる前に阻止する最善の方法です。

攻撃の検出を阻む最大の障壁となっているのは、攻撃者の振る舞いおよび侵入経路という 2点を可視化できないことです。これらを可視化して攻撃元を調査するために、IT 管理者やセキュリティアナリストは EDR テクノロジーに大きく頼るようになっています。EDR は、さまざまなエンドポイントデバイスを管理・保護するだけでなく、脅威の発生源を明らかにし、感染エンドポイントからネットワークを通じてどのように拡散したかを把握するために役立ちます。

EDR とウイルス対策の違い

EDR とウイルス対策はどちらも、管理対象エンドポイントを監視・保護するという点で共通していますが、同義ではありません。ウイルス対策ソフトは普通、EDR ソリューションに含まれていますが、ウイルス対策ソフトに必ずしも EDR が含まれているわけではないということを覚えておきましょう。EDR ソリューションは、管理対象エンドポイントは遅かれ早かれ感染する、ということを前提にしています。ウイルス対策ソフトは単体で、既知のマルウェアを阻止するのに優れた効果を発揮するでしょう。しかし、ゼロデイ脅威や、ソーシャルエンジニアリングを利用した巧妙なフィッシング攻撃など、あらゆるタイプの脅威を阻止しきれない可能性があります。 EDR を使用せず、ウイルス対策だけに頼ることの最大のリスクは、セキュリティ侵害が発生したときに、標的となったエンドポイントで何が起きたかを詳しく把握できないということです。

次世代のウイルス対策 (NGAV) とは?

組織は、次の脅威の先手を打つエンタープライズレベルのウイルス保護対策が必要です。新しいウイルスが絶えず生み出され、フィッシング攻撃を通じてマルウェア、ランサムウェア、スパイウェア、トロイの木馬やその他の悪質ソフトが送り込まれるなかで、エンタープライズのデータを死守する必要があります。

そのために大きな効果を発揮するのが、 次世代のウイルス対策 です。このような最新型の保護ソフトは NGAV とも呼ばれ、従来のウイルス対策ソフトの足りなかった点を補っています。NGAV は高度なテクノロジーを複数組み合わせることによって、変化し続ける攻撃をブロックし、新たに出現する脅威も特定・阻止できるのが特徴です。

次世代のウイルス対策は、高度な監視機能によってあらゆる種類の脅威を検出し、ゼロデイ脅威をも阻止することが可能です。簡単に言うと、NGAV はネットワーク上で脅威を検出してから対処するのではなく、常に監視の目を光らせています。

次世代のウイルス対策は、従来のウイルス対策に加えて以下のような機能を備えています。

  • 積極的に脅威をハンティングして IT の問題を解決する
  • ウイルスや脅威を早い段階で検出する
  • 警告機能によってリスクを減らす一方で、不要な警告はフィルタリングする

従来のウイルス対策プログラムは、10年前であればエンドポイントデバイスを保護するのに十分でしたが、現在の脅威には対応しきれません。

エンドポイントセキュリティソリューション

優れたエンドポイントセキュリティソリューションとは、以下の各分野で実証された機能を備えているようなものです。

  • 脅威の阻止脅威のハンティングを自動的に行い、既知および未知の脅威に対応する。ビジネスメール詐欺など、さまざまな種類およびレベルの脅威を早い段階で検出し、対応する能力が求められます。
  • デバイス管理およびアプリケーション制御: あらゆるエンドポイントおよび業務用アプリケーションを常時監視して、セキュリティの状態を最善に保つ。全組織のすべてのエンドポイントおよびアプリケーションを常に制御する必要があります。さもないと、従業員が - 故意か過失かはさておき - セキュリティ上必要なプロトコルやポリシー、アプリケーションを無効にしてしまう可能性があります。
  • 自動検出および修復: 脅威を検出するだけでは十分ではありません。被害を受ける前に、除去する必要があります。基本的な脅威に対しては、自動的に修復を適用する機能があるとよいでしょう。それによって、セキュリティ担当者はより複雑な問題に対処する時間的余裕が得られます。
  • 高度な警告およびレポート機能: 機械学習によって、イベントや警告のコンテキスト情報を得る。機械学習を謳っている製品は数多いですが、機械学習にもさまざまなレベルがあります。 ディープラーニング は、他の機械学習モデルに比べ、マルウェア検出において常に秀でた結果をあげています。

XDR (Extended Detection and Response) とは?

簡単に言うと、XDR (extended detection and response) は、EDR をさらに進化させたバージョンです。

EDR はエンドポイント上の脅威を封じ込めて削除することを目的としていますが、XDR は脅威ハンティングおよび対応をエンドポイントの外部へと拡張しているのが特徴です。サイバーセキュリティ対策の進化系ともいえるこの方法では、組織全体のインフラストラクチャに着目して、傾向や脅威を迅速かつ正確に特定します。

NGAV と同様、XDR も従来の受け身ともいえるウイルス対策を大幅に改善したものであり、既知や新種の脅威をプロアクティブに見つけ出して迅速に対処するのが特徴です。

XDR は、セキュリティ担当者の以下のような疑問に答えます。

  • エンドポイントやコンピュータの動作が遅い原因は?
  • 既知の脆弱性、不明なサービス、不正なブラウザ拡張機能があるエンドポイントはどれか?
  • デバイス上で実行されているプログラムの中に、組織で承認されておらず削除したほうがよいものはあるか?
  • 管理対象外で保護されていないノート PC、モバイル、IoT デバイスを検出できるか?
  • 社内ネットワークに問題をもたらしているプログラムはあるか?
  • クラウドセキュリティグループを分析して、公共のインターネットに公開されているリソースを特定できるか?
  • ゼロデイ脅威や未知の脅威を検出できるか?

EDR は、エンドポイントを保護するのに効果的なソリューションです。しかし、個々のエンドポイントは、フレームワーク全体の 1面にすぎません。エンタープライズのネットワークが複数のシステムから構成されている場合は、XDR を使って保護レベルを最大化すべきです。

エンドポイントセキュリティツールについて

エンドポイントへのマルウェアやランサムウェア攻撃を阻止するには、できるだけ早い段階で検出することが最大のポイントです。特に、企業のファイアウォールの外にあるモバイルデバイスを保護するためには、この点が重要となってきます。従来のエンドポイントセキュリティ (エンドポイント管理やウイルス対策) では、もはや通用しません。今日の高度な脅威に対抗するためには、ゼロデイ攻撃を含むあらゆる種類の脅威に対して、常に警戒を怠らない姿勢が必要です。

ソフォスは、エンドポイントセキュリティ分野のリーディングカンパニーです。堅牢な最新型ツールを提供し、高度な脅威ハンティングを実現して、エンドポイントのセキュリティ状態を最善の状態に保ちます。

将来のセキュリティエコシステムに通用する次世代のエンドポイントセキュリティについてさらに詳しく説明しています。ソフォスのエンドポイント保護製品の無償評価版もどうぞお試しください。

エンドポイントの保護

関連するセキュリティトピック: ランサムウェアのリスクを軽減する方法

サイバーセキュリティニュースを確認