見出し画像

セキュリティ用語の基礎知識エンドポイントセキュリティの基本をおさらい

最近、「エンドポイントセキュリティ」という言葉をよく耳にします。普段利用しているデバイスに対するセキュリティ対策だということはざっくりと理解していても、具体的にどのような対策なのかを知らない人も多いのではないでしょうか。

実はエンドポイントセキュリティと一言でいっても、その意味は状況によって大きく異なります。そこで、今回は知っているようで意外と知らない、エンドポイントセキュリティについておさらいします。

そもそもエンドポイントセキュリティとは何か

「エンドポイント(Endpoint)」とは「終点」や「末端」を意味する単語ですが、IT用語としてはネットワークに接続されているPC、スマートフォン、タブレットなどの機器を指しています。つまりエンドポイントセキュリティとは、こうした端末に対するセキュリティ対策なのです。

ここにちょっとした落とし穴があります。それは「エンドポイント」という言葉が指し示す範囲が予想以上に広いということです。ネットワークに接続されている機器という括りで、サーバーもエンドポイントとして扱うセキュリティソリューションもあり、ユーザーが直接操作しないカメラやセンサーなどのIoTデバイスを対象とする場合もあります。

語られる文脈によって対象となるエンドポイントの範囲が異なるため、エンドポイントセキュリティの製品やサービスを選定する際には、具体的に「何」を「どのように」守るのかをきちんと確認しておくことが大切です。

なぜエンドポイントセキュリティが注目されるのか

近年エンドポイントセキュリティが注目されている最大の理由には、働き方改革やコロナ禍によって、テレワークが普及し、強固なファイアウォールで守られていた社内ネットワークの外側にエンドポイントとなる機器が置かれるようになったことが挙げられるでしょう。

社員は自宅、サテライトオフィス、カフェなどさまざまな場所から社内のネットワークに接続することになります。こうしたリモート環境に、オフィスと同じレベルのセキュリティ機能を持たせることは容易ではありません。そのため、エンドポイントである機器自体に、しっかりとしたセキュリティ対策が必要になってくるのです。

もちろんサイバー攻撃を実行する側も、こうした社内ネットワークの外にあるエンドポイントを狙っています。たとえばテレワークなどに使用しているPCに侵入し、業務のために社内ネットワークに接続した際に、基幹システムやファイルサーバなど他の機器への侵入を試みるのです。

ランサムウェアをはじめとするさまざまなマルウェアは、こうしたセキュリティ対策が甘いエンドポイントを狙う手法が主流となっています。侵入手段として最も多いのはマルウェアを添付したメールを利用するのですが、その他にもメールに記載されたURLをクリックさせる、Webサイトを改ざんしてマルウェアをダウンロードさせるなどの手法が用いられることもあります。また、通話機能を持ったスマートフォンなどに不正なショートメッセージ(SMS)を送る手法も増加しています。

具体的なエンドポイントセキュリティ対策とは

最新のエンドポイントセキュリティのソリューションは、個別のデバイス内で完結するものはほとんどありません。PCなどデバイスのセキュリティ対策というと、ウィルス対策ソフトをイメージする人も多いでしょう。もちろんそうした侵入されないための対策は引き続き重要です。しかし、近年マルウェアが進化する速度は速く、対策のシグネチャファイルが間に合わないこともあります。また、Excelなど業務アプリの脆弱性を狙った攻撃や、マルウェアが入ったUSBメモリをPCに挿すことで感染させる攻撃などもあり、マルウェアの侵入を100%防ぐことが難しくなっているのが現実です。

一般的にエンドポイントセキュリティという視点で語られるセキュリティ対策には、次のようなものがあります。

[EPP]
EPP(Endpoint Protection Platform)は、いわゆるウィルス対策ソフトです。マルウェアのシグネチャファイルによって、パターンマッチングで“既知”の脅威を検出して攻撃をブロックします。

[データ暗号化]
PCなどのエンドポイント機器を紛失、または窃取されてしまった場合、ログインの情報がわからなくても物理的にハードディスクやデータが記録されたSDカードなどを抜き出してデータを盗まれてしまうことがあります。
しかし、これらの記録媒体に保存するデータを暗号化しておけば、記録媒体そのものを取り出しても、データを読み取ることはできません。

[IT資産管理]
ハードウェアの位置情報、インストールされているソフトウェアのバージョンやライセンスなど使用している機器の情報を管理する仕組みです。Windows Updateの適用状況、脆弱性の見つかったアプリのパッチ適用状況など、機器のセキュリティに関係する情報も管理しています。また、USBメモリなどの利用を制限する、あるいは利用したことを通知する仕組みを持つソリューションもあります。
他にも紛失してしまった機器の位置を特定し、遠隔でロックするといった機能を持つものもあり、社外に機器を持ち出すテレワークのユーザー、あるいは営業など客先に機器を持って歩くユーザーにも心強いエンドポイントセキュリティ対策となります。

[認証サーバー/検疫サーバー]
機器が社内ネットワークに接続する際、認証サーバーにおいてユーザーやデバイスを確認します。また、認証を受けたユーザーが使っている機器を精査し、必要なセキュリティ対策ソフトが有効になっていない、必要なセキュリティパッチが適用されていない、そもそも接続を許可されていない機器であるなどの理由で、その機器からのアクセスを遮断するのが検疫サーバーです。
こうした認証時に不正なアクセスや不正な機器ではないことを確認することも含めて、エンドポイントセキュリティ対策としているセキュリティベンダーもあります。

[EDR]
EDR(Endpoint Detection and Response)は、エンドポイントである機器に監視用のエージェントをインストールし、エンドポイントを監視する仕組みです。エージェントは機器の状態を常にサーバーに送信しており、監視サーバーはこれらの情報を分析して不審な挙動を示した機器を即座にネットワークから切り離し、管理者に状況を通知します。

サーバー側にエンドポイントから送られてきた情報がログとして集約されているため、このログから原因や被害状況を特定できます。また、ソリューションによっては、被害を受けた機器やサーバーの状態を、自動で正常な状態に回復させる機能を持ったものもあります。

[NGAV/ NGEPP]
NGAV(Next Generation Antivirus)やNGEPP(Next Generation Endpoint Protection Platform)と呼ばれる仕組みでは、AIや機械学習などを用いて、未知の脅威を検出し、隔離(ネットワークからの切断)。回復(攻撃されたエンドポイントを正常な状態に戻す)機能を提供します。NGAVや NGEPPが分析(解析)するのは、エンドポイントのエージェントから送られてくる情報だけでなく、認証サーバーの情報や、検疫サーバーからの情報、データベースへのアクセス状況など多岐に渡ります。そのため、次世代型ウィルス対策ソフトというよりも、EDRの解析手法が進化した仕組みという方が近いかもしれません。

[DLP]
DLP(Data Loss Prevention)は、情報の窃取に対するピンポイントな対策の仕組みです。企業にとって重要なデータへのアクセスを監視し、アクセス情報をログとして記録しています。不正と判断したアクセスを検知した場合には、即座に通信を遮断してその旨を管理者に通知します。また、管理者はDLPからのログを確認して、窃取された情報の有無、影響範囲、窃取したユーザーや利用された機器を特定することができます。

単に接続する機器にウィルス対策ソフトをインストールすることから、ネットワークシステム全体ですべての機器を監視してサイバー攻撃対策を実施する大掛かりな仕組みまで、すべてが「エンドポイントセキュリティ」という文脈で語られてしまうため、状況によって重みがかなり違うことが理解いただけたでしょうか。

まとめ

・エンドポイントとは、ネットワークに接続された機器のことを指す
・既存のウィルス対策ソフトだけではエンドポイントを100%守ることはできない
・エンドポイントセキュリティは状況によって対象となる範囲が異なる

この記事が気に入ったらサポートをしてみませんか?