エンドポイントセキュリティとは、サーバーやPC、モバイルデバイスといったエンドポイントに対して、セキュリティ対策を行うことです。サイバー攻撃者側の組織化やリモートワークの常態化などにより、従来のウイルス対策を中心とした”侵入を防ぐ”セキュリティ対策では防ぎきれないことが多くなったことから、エンドポイント内の行動をもとに検出して被害を最小でとどめる”侵入後のセキュリティ”として EDR がより重要視されるようになりました。
本記事では、エンドポイントセキュリティの概要、企業が重視する理由、具体的なセキュリティ内容などを詳しく解説します。次世代型のセキュリティシステムである EDR の導入・変更を検討している担当者は、ぜひ参考にしてください。
エンドポイントとエンドポイントセキュリティの意味
エンドポイント、エンドポイントセキュリティという言葉は PC のセキュリティの意味で使うことが多いですが、サーバーやスマートデバイス、プリンターなども含む広い意味で使われることもあります。
エンドポイントとは
「エンドポイント」とは、末端・終点を意味する言葉で、セキュリティ用語ではネットワークに接続されている末端の機器のことです。各種サーバーのほか、社内ネットワークで利用する PC、プリンター、社外で利用するスマートフォン、タブレット、スマートウォッチなどがこれに含まれます。
エンドポイントセキュリティの概要
「エンドポイントセキュリティ」とは、エンドポイントに対してセキュリティ対策を行うこと全般を指します。エンドポイントセキュリティは、狭義であれば、ウイルス対策製品、EDR を指しますが、広義では MDM、資産管理ツールなども含みます。本項では、狭義のエンドポイントである PC 端末およびサーバーに対するウイルス対策製品と EDR を中心に説明します。エンドポイントは、社外との通信が最も多い端末であり、マルウェアなどの脅威が侵入する入口にもなります。
サイバーセキュリティの脅威は、日々増加して進化しています。最近のエンドポイントセキュリティには、発生した攻撃をいち早く検知し、分析・ブロック・封じ込めを迅速に行うことが求められています。
ゲートウェイセキュリティ(UTM/次世代ファイアウォール)+エンドポイントセキュリティへ
ゲートウェイセキュリティは、ネットワークを社内と社外に区切ることで社内ネットワークの内部にあるエンドポイントを保護します。社内ネットワークとインターネットの境界(ゲートウェイ)で監視し、ネットワークの境界でマルウェアや脆弱性を突く攻撃を検出することで、組織内へのマルウェアの侵入や、不正なアクセスなどを防ぐのが目的です。ゲートウェイにファイアウォール、IDS、IPS などを導入して、外部からの侵入を検知・防止します。
近年の DX 推進によるクラウドサービス利用増加やリモートワークの常態化に伴い、エンドポイントがゲートウェイを介さずに、クラウドやインターネットに直接アクセスする環境に変わってきているため、従来のゲートウェイセキュリティ対策とウイルス対策に加え、リモート環境であってもクラウドからエンドポイントを管理できる EDR の次世代型エンドポイントセキュリティの考え方が注目されるようになりました。
エンドポイントセキュリティの種類
エンドポイントセキュリティでは、以下のような種類があります。セキュリティベンダーが提供するエンドポイントセキュリティ製品はこれらの組み合わせ(スイート)で提供していることもあります。
EPP(Endpoint Protection Platform)
「EPP(Endpoint Protection Platform)」とは、パターンマッチングを利用したウイルス対策ソフトウェアです。エンドポイント上でファイルをスキャンして既知のマルウェアを検知し、攻撃を阻止・修復します。未知の脅威を検知する機能やエンドポイントの通信を監視するホスト型ファイアウォール機能、USB メモリの利用制限機能などが組み合わさったスイート製品として提供されていることが一般的です。基本的には、サイバー攻撃が実行される前(侵入前)に検出する目的で作られており、悪意あるファイルが実行されるタイミングでチェックして検出する仕組みです。
NGAV(次世代アンチウイルス)
NGAV(Next Generation Anti-Virus)は、機械学習を利用した振る舞い検知により、未知のマルウェアを検知・ブロックします。NGAV 機能は、EPP に含まれていたり、EDR の機能として提供するセキュリティベンダーもあります。「EDR」と合わせて、次世代エンドポイントセキュリティ製品と呼ばれることもあります。機能はメーカーによって差があり、仮想環境内で実行するサンドボックス機能を含む製品もあります。EPP 同様サイバー攻撃が実行される前(侵入前)に検出するのが目的です。
EDR
「「EDR(Endpoint Detection and Response)」は、侵入後の対策といわれており、エンドポイントの操作や動作を記録・監視して、サイバー攻撃の侵入後すぐに対処すること、サイバー攻撃を受けているかを調査することを目的としたソフトウェアの総称です。EPP や NGAV がマルウェアの侵入を食い止められなかったことを想定して、EDR が次の段階で被害を最小限にするよう機能します。EPP や NGAV と EDR を組み合わせて使うことで、強固なセキュリティ対策を実現します。
EDR が重視される理由
企業が次世代エンドポイントセキュリティである EDR を重視する理由を解説します。
エンドポイントがマルウェアの動作開始場所となっているため
エンドポイントは、マルウェアが動作を開始する場所です。エンドポイントセキュリティでは、マルウェアが動作を開始した瞬間を捉え防御します。一方で、ここで検知できなかったとしても後から調査したときに侵入経路として特定できれば再発防止策を講ずることも可能です。このように、攻撃の起点を抑えることは非常に重要です。
攻撃のラテラルムーブ(横展開)を捉えられる
サイバー攻撃者は一般的に攻撃対象のネットワークに侵入したら、そのユーザーのアクセス権やネットワーク内を、ファイル共有やリモートアクセス(RDPなど)で探索して、他の端末を乗っ取ったり、権限昇格を狙い、最終的に機密情報を探します。このうちネットワーク内の他のシステムやアカウントに移動する一連の動きをラテラルムーブ(横展開)といいます。EDR は端末内の行動ログやイベントから、ネットワーク内で足掛かりを作ろうとする行動パターンを検出することで、ラテラルムーブを捉え、サイバー攻撃の被害が大きくなる前に対処することができます。
リモートから対処・調査ができる
クラウド利用やリモートワークが一般的になった現在では、エンドポイントは必ずしも管理者から物理的にアクセスできないことが増えています。従来の EPP は管理サーバーを社内に構築して、社内ネットワークで管理していました。それに対して、EDR は管理サーバーがクラウド上にありエンドポイントがインターネット接続していれば、リモートから必要な対処や調査が行えます。
このように、現在のビジネス環境の変化に対応できるため 次世代エンドポイントセキュリティ EDR は注目を浴びているのです。
エンドポイントセキュリティ製品を選ぶ際のポイント
エンドポイントセキュリティ強化を目的に EDR 製品を選ぶ際には、以下の点に注意するようにしましょう。
製品機能
EDR の詳細な検出手法は各社公開しておらず、検出力を比較することは難しいのですが、当社では Carbon Black Cloud、CrowdStrike Falcon、Cybereason、Microsoft Defender for Endpoint、Trend Micro Apex One XDR、の5つの製品を要件に合わせてお勧めしています。理由は、当社から見て、どの製品も世界的に知名度と実績があり、サポート面や製品の安定性で信頼性があるためです。
当社が 5つの EDR から選択する基準の例として、すでに利用中の EPP 製品ごとリプレースまたは既存の EPP 製品の使用を前提に EDR だけ追加するか、将来的にどのセキュリティ機器との接続を視野に入れた拡張性を求めるのか、利用中のセキュリティ対策と統一したいか、などといった基準で選定します。
運用体制
EDR は侵入後のセキュリティ対策です。そのセキュリティアラートは攻撃者が組織内に侵入されている状態のため、迅速にアラートの内容を分析して対処する必要があります。つまり、24時間365日体制で分析するだけでなく、対処まで行う必要があります。また、アラートの分析は OS やサイバー攻撃に関する知見が必要で、適切な対処にもノウハウが必要になります。
こうした体制を作るためのスキルと体制を社内で作るのは時間とコストがかかるため、当社ではセキュリティアナリストが24時間365日 EDR のアラートを解析して対処まで行うマネージドセキュリティサービスを提供しています。
まとめ
EDR を含めた次世代エンドポイントセキュリティは、マルウェアなどの脅威の入口となるエンドポイントに対する「侵入後の」セキュリティ対策です。DX の推進やリモートワークの常態化によるクラウドの利用拡大などで、リスクが増大する中、従来では対応しきれなかった脅威の可視化や防御が可能になり、注目度が高まっています。
これらの製品を導入し運用するには、ルールや体制を整備する必要があり、専門の知識を有する人材やノウハウなどが必要となります。自社にリソースが不足している場合は、専門の事業者に監視や管理を依頼する方法もあります。
SBテクノロジーでは、さまざまな EDR 製品に対応したセキュリティ監視サービスである「MSS for EDR」を提供しています。お客様に代わってサイバー攻撃を早期に検知・分析し、拡散を防ぐ、侵入を前提としたセキュリティ対策サービスです。
また、当社のマネージドセキュリティサービス(MSS)の活用により、コストや運用負担をかけずに、最大限のセキュリティ対策が実現します。リモートワークの定着やクラウド化などでセキュリティ強化を検討しているなら、SBテクノロジーの「MSS for EDR」の活用をぜひご検討ください。