エンドポイントセキュリティとは、マルウェアなどの脅威が侵入する入口であるエンドポイントに対して、セキュリティ対策を行うことです。インターネット利用の増加やテレワークの常態化などにより、従来のセキュリティ対策では防ぎきれないことが多くなったことから、より重要視されるようになりました。
本記事では、エンドポイントセキュリティの概要、企業が重視する理由、具体的なセキュリティ内容などを詳しく解説します。次世代型のセキュリティシステムである EDR の導入・変更を検討している担当者は、ぜひ参考にしてください。
目次
エンドポイント・エンドポイントセキュリティとは
セキュリティ領域で、エンドポイントやエンドポイントセキュリティという言葉をよく聞くようになりました。それぞれどのような意味や特徴があるのでしょうか。
エンドポイントの意味
「エンドポイント」とは、末端・終点を意味する言葉で、セキュリティ用語ではネットワークに接続されている末端の機器のことです。各種サーバーのほか、社内ネットワークで利用する PC、プリンター、社外で利用するスマートフォン、タブレット、スマートウォッチなどがこれに含まれます。
エンドポイントセキュリティの概要
「エンドポイントセキュリティ」とは、エンドポイントに対してセキュリティ対策を行うことです。エンドポイントは、社外との通信が最も多い端末であり、マルウェアなどの脅威が侵入する入口にもなります。
サイバーセキュリティの脅威は、日々増加して先鋭化しています。現代のエンドポイントセキュリティには、発生した攻撃をいち早く検知し、分析・ブロック・封じ込めを迅速に行うことが求められています。
ゲートウェイセキュリティからエンドポイントセキュリティへ
エンドポイントセキュリティは、最近になって再び注目されるようになった手法です。それまでは、EPP と呼ばれるアンチウイルス製品とゲートウェイセキュリティが一般的でした。その違いを比較してみましょう。
ゲートウェイセキュリティの特徴
ゲートウェイセキュリティは、ネットワークを社内と社外に区切ることで社内ネットワークの内部にあるエンドポイントを保護します。社内ネットワークとインターネットの境界(ゲートウェイ)で監視し、ネットワークにマルウェアが侵入することや、不正なアクセスなどを防ぐのが目的です。ゲートウェイにファイアウォール、IDS、IPS などを導入して、外部からの侵入を検知・防止します。
近年のクラウドサービス利用の増加やテレワークの常態化に伴い、社内ネットワークがクラウドを中心とした構成に変わってきているため、従来のゲートウェイセキュリティ対策に加え、EDR の次世代型エンドポイントセキュリティの考え方が脚光を浴びています。
エンドポイントセキュリティの特徴
エンドポイントセキュリティは、エンドポイントとそこに保存されているデータを保護することが目的です。保護の対象は、ネットワーク全体に加え、接続されているエンドポイントまで一括監視します。マルウェアの侵入を防御するほか、侵入後の攻撃を見つけ出したり、複数の段階や方法でエンドポイントを保護するため、より強固なセキュリティを実現できることが特徴です。
特に、現在では侵入を完全に防ぐことはできないという考え方が重要になってきており、侵入後のセキュリティとして EDR に注目が集まっています。
エンドポイントセキュリティが重視されるようになった背景
ゲートウェイセキュリティからエンドポイントセキュリティが重視されるようになった背景としては、以下のビジネス環境の変化などが挙げられます。
クラウドサービス利用の増加
環境構築のコストや手間を軽減できるなどのメリットが多いことから、企業による IaaS、PaaS、SaaS などのクラウドサービスの導入が増えています。これらクラウドサービス利用はエンドポイントからクラウドサービスに直接アクセスしゲートウェイを通過しないため、それだけマルウェアの侵入や情報漏えいのリスクが高くなります。そのため、ゲートウェイでの保護だけではないセキュリティ対策が求められるようになったのです。
テレワークの増加
働き方改革の推進や新型コロナウィルスの影響で、テレワークが常態化してきています。オフィス以外の場所から社内ネットワークにアクセスすることが増えたことで、何かあった際に、すぐに端末や環境を調査することが難しくなり、エンドポイントセキュリティの強化が必要となりました。
常時 SSL 通信の普及
常時 SSL 通信が普及し、Web サイトへは https でのアクセスが一般的になりました。これにより通信のセキュリティは確保されましたが、ゲートウェイでのセキュリティ対策ではリソース負荷や証明書などを理由にその通信内容をすべて監視できなくなってきており、ゲートウェイでのセキュリティ対策の有効性が下がってきています。(ただし、一定の効果はある)
※対応するクラウド型のゲーウェイ製品も登場してきています。
エンドポイントセキュリティが重視される理由
企業が次世代エンドポイントセキュリティである EDR を重視する理由を解説します。
エンドポイントがマルウェアの動作開始場所となっているため
エンドポイントは、マルウェアが動作を開始する場所です。エンドポイントセキュリティでは、マルウェアが動作を開始した瞬間を捉え防御します。一方で、ここで検知できなかったとしても後から調査したときに侵入経路として特定できれば再発防止策を講ずることも可能です。このように、攻撃の起点を抑えることは非常に重要です。
攻撃のラテラルムーブ(横展開)を捉えられる
サイバー攻撃者は一般的に攻撃対象のネットワークに侵入したら、そのユーザーのアクセス権やネットワーク内を探索して、機密情報を探します。その過程で他の端末を乗っ取り機密情報にアクセスできるよう権限の昇格を狙います。このネットワーク内の一連の動きをラテラルムーブ(横展開)といいます。次世代エンドポイントセキュリティはこのラテラルムーブを捉えることで、サイバー攻撃の被害が大きくなる前に対処することができます。
リモートから対処・調査ができる
クラウド利用やテレワークが一般的になった現在では、エンドポイントは必ずしも管理者から物理的にアクセスできないことが増えています。次世代エンドポイントセキュリティは管理サーバーがクラウド上にありエンドポイントがインターネット接続していれば、リモートから必要な対処や調査が行えます。
このように、現在のビジネス環境の変化に対応できるため次世代エンドポイントセキュリティは注目を浴びているのです。
エンドポイントセキュリティの種類
エンドポイントセキュリティでは、以下のような種類があります。セキュリティベンダーが提供するエンドポイントセキュリティ製品はこれらの組み合わせ(スイート)で提供していることもあります。
EPP(Endpoint Protecton Platform)
「EPP(Endpoint Protection Platform)」とは、パターンマッチングを利用したアンチウイルスソフトウェアです。エンドポイント上でファイルをスキャンして既知のマルウェアを検知し、攻撃を阻止・修復します。未知の脅威を検知する機能やエンドポイントの通信を監視するホスト型ファイアウォール機能、USB メモリの利用制限機能などが組み合わさったスイート製品として提供されていることが一般的です。
NGEPP・NGAV
「NGEPP(Next Generation Endpoint Protection Platform)」と「NGAV(Next Generation Anti-Virus)」は、どちらも機械学習を利用した振る舞い検知により、未知のマルウェアを検知・ブロックします。EPP に含まれていたり、EDR の機能として提供するセキュリティベンダーもあります。「EDR」と合わせて、次世代エンドポイントセキュリティ製品と呼ばれることもあります。
EDR
「EDR(Endpoint Detection and Response)」は、侵入後の対策といわれており、エンドポイントの操作や動作を記録・監視して、サイバー攻撃の侵入後すぐに対処すること、サイバー攻撃を受けているかを調査することを目的としたソフトウェアの総称です。EPP や NGEPP がマルウェアの侵入を食い止められなかったことを想定して、EDR が次の段階で被害を最小限にするよう設計されています。EPP や NGEPP と EDR を組み合わせて使うことで、強固なセキュリティ対策を実現します。
エンドポイントセキュリティ製品を選ぶ際のポイント
エンドポイントセキュリティ強化を目的に製品を選ぶ際には、以下の点に注意するようにしましょう。
検知する対象
日々新しい脅威が発生しています。導入する製品の検知の精度や、検知する対象、範囲などを確認することが重要です。未知のマルウェアを検知できるなど、製品を提供する事業者によっても対応できる範囲や強みが異なるため、必ず確認するようにしましょう。
運用体制とルール
エンドポイントセキュリティを、自社でどのように運用していくか、ルールや体制を整えておくことも重要です。脅威を検知した場合の対応フローや対応するセクション、連絡体制なども決めておきます。
自社のリソースが不足していて対応が難しい場合は、監視業務を代行してくれる事業者も存在するため、必要であれば活用するようにしましょう。
提供形態
エンドポイントセキュリティの製品は、大きく分けてオンプレミス型とクラウド型があります。現在のビジネス形態にあわせて、セキュリティベンダー各社クラウド型での提供が増えています。自社の要件や予算に応じて、適切な提供形態を選ぶようにしましょう。
まとめ
次世代エンドポイントセキュリティは、マルウェアなどの脅威の入口となるエンドポイントに対するセキュリティ対策です。テレワークの常態化などでリスクが増大する中、従来では対応しきれなかった脅威の可視化や防御が可能になり、注目度が高まっています。
これらの製品を導入し運用するには、ルールや体制を整備する必要があり、専門の知識を有する人材やノウハウなどが必要となります。自社にリソースが不足している場合は、専門の事業者に監視や管理を依頼する方法もあります。
SBテクノロジーでは、さまざまな EDR 製品に対応したセキュリティ監視サービスである「MSS for EDR」を提供しています。お客様に代わってサイバー攻撃を早期に検知・分析し、拡散を防ぐ、侵入を前提としたセキュリティ対策サービスです。
また、弊社のマネージドセキュリティサービス(MSS)の活用により、コストや運用負担をかけずに、最大限のセキュリティ対策が実現します。リモートワークの定着やクラウド化などでセキュリティ強化を検討しているなら、SBテクノロジーの「MSS for EDR」の活用をぜひご検討ください。
