エンドポイント セキュリティとは、デスクトップ、ラップトップ、モバイル デバイス等のエンドユーザー デバイスのエンドポイントやエントリー ポイントを攻撃から保護するものです。 エンドポイント セキュリティ システムは、ネットワークやクラウド上にあるこういったエンドポイントを、サイバー攻撃から守ります。 これは従来のウイルス対策ソフトウェアから進化したもので、高度なマルウェアや進化するゼロデイ攻撃を包括的に阻止します。

規模の大小を問わず、どの企業もサイバー攻撃を受けるリスクがあります。国家機関、ハクティビスト、犯罪組織などの外部からの攻撃だけでなく、組織の内部にも脅威が存在します。 多くの組織がサイバーセキュリティの最前線にエンドポイント セキュリティを配備し、企業ネットワークを保護する最初の防御層としています。

サイバーセキュリティ脅威は着実に増加し、先鋭化しています。このような脅威に対抗するには、より高度なエンドポイント セキュリティ ソリューションが必要です。 現在のエンドポイント保護システムには、発生した攻撃を早期に検知し、分析、ブロック、封じ込めを迅速に行うことが求められています。 そのためには、個々のセキュリティ技術を相互に連携させ、洗練された脅威を可視化し、検出から修復までの時間を短縮しなければなりません。

エンドポイント セキュリティが重要な理由

エンドポイント保護プラットフォームが企業のサイバーセキュリティにとって重要な理由はいくつかあります。 まず第一に、現在のビジネスにおいてはデータが最も重要な資産であるため、データの損失や不正アクセスが企業の崩壊を招きかねません。 企業は、エンドポイントの数の増加だけでなく種類の増加にも対応しなければなりません。 このため自社でエンドポイント セキュリティを実施することは困難です。加えて、リモート ワークや BYOD によってさらに状況が複雑になり、セキュリティがますます脆弱になっています。 脅威の状況も複雑さを増しています。ハッカーはシステムや情報へ不正アクセスをする方法や、従業員を騙して機密情報を盗む方法を常に編み出し続けています。 事業の推進に用いるべきリソースを脅威対策に充てることによる機会コスト、大規模セキュリティ侵害によって引き起こされる評判の低下によるコスト、コンプライアンス違反による財務コストを考えると、現代の企業にとってエンドポイント保護プラットフォームが欠かせない理由は明らかです。

エンドポイント保護の動作の仕組み

エンドポイント セキュリティは、ネットワークに接続するデバイスのデータとワークフローを保護します。 エンドポイント保護プラットフォーム (EPP) はネットワークに入ってくるファイルを検査します。 最新の EPP は、増加し続ける脅威情報データベースをクラウド上に保持します。データをローカルに保存する必要がなくなり、またデータベースを常に最新化する作業も不要になります。 クラウド上のデータにはスピーディにアクセスでき、スケーラビリティも向上します。

ネットワーク ゲートウェイやサーバーにインストールされる EPP の集中コンソールを用いれば、各デバイスのセキュリティをリモートから管理できます。 クライアント ソフトウェアは各エンドポイントに割り当てられます。これは SaaS として提供してリモートで管理することも、またデバイスに直接インストールすることもできます。 エンドポイントがセットアップされれば、クライアント ソフトウェアは必要に応じてエンドポイントに更新をプッシュし、各デバイスからのログインを認証し、企業ポリシーを集中管理します。 EPP は、アプリケーション制御を用いて危険なアプリケーションや未承認のアプリケーションをブロックし、暗号化を用いてデータ損失を防止します。

EPP がセットアップされれば、マルウェアやその他の脅威をすばやく検知できるようになります。 また エンドポイントでの検出と対応 (EDR) コンポーネントを含むソリューションもあります。 EDR 機能は、ポリフォーミック型マルウェア、ファイルレス マルウェア、ゼロデイ攻撃などの高度な脅威を検出します。 EDR ソリューションは継続的な監視を行い、またさまざまな対応オプションを提供します。

EPP ソリューションはオンプレミスまたはクラウドで提供されます。 クラウド ベースの製品はスケーラブルで既存アーキテクチャへの統合も簡単ですが、規制やコンプライアンス ルールによってはオンプレミスを選択しなければならない場合があります。

エンドポイント セキュリティのコンポーネント

通常、エンドポイント セキュリティ ソフトウェアには、次のようなコンポーネントが含まれます。

  • ゼロディの脅威をほぼリアルタイムで検出する、機械学習分類
  • 複数のエンドポイント デバイスおよびオペレーティング システム上のマルウェアを検出し修正する、高度なマルウェア/ウイルス対策
  • ブラウジングを保護するプロアクティブな Web セキュリティ
  • データ損失や流出を防ぐデータ分類とデータ損失防止
  • 敵対的なネットワーク攻撃をブロックする統合ファイアウォール
  • 従業員を狙うフィッシングやソーシャル エンジニアリング攻撃をブロックするメール ゲートウェイ
  • 感染の迅速な分離に役立つ脅威フォレンジックス
  • 関係者による意図的ではないアクションや悪意あるアクションといった、内部脅威への対策
  • 可視性の向上と運用の簡易化に役立つ集中エンドポイント管理プラットフォーム
  • データ抜き出しを防ぐための、エンドポイント、メール、ディスクの暗号化

エンドポイントとみなされるもの

エンドポイントには以下を含む、様々なデバイスがあります。

  • ラップトップ
  • タブレット
  • 携帯端末
  • スマート ウォッチ
  • プリンター
  • サーバー
  • ATM
  • 医療機器

エンドポイントはいたるところに インフォグラフィック

ネットワークに接続しているデバイスはすべてエンドポイントになります。 BYOD (持ち込みデバイス) と IoT (モノのインターネット) の普及に伴い、組織のネットワークに接続するデバイスは急激に増加し、その数は数万から数十万台に達する勢いです。

これらはすべて脅威やマルウェアの侵入口となるため、攻撃者にとってエンドポイント、特にモバイル機器やリモート デバイスは格好の標的となっています。 モバイル エンドポイント機器も Android デバイスや iPhone に限定されるわけではありません。最新のウェアラブル ウォッチ、スマート デバイス、音声制御のデジタル アシスタント、他の IoT 対応スマート デバイスも狙われています。 自動車、航空機、病院施設でもネットワークに接続したセンサーが使われています。また、石油掘削装置にもこのようなセンサーが搭載されています。 エンドポイントの増加と多様化が進んでいる状況に合わせて、エンドポイントを保護するセキュリティ ソリューションも進化しています。

最新の SANS エンドポイント セキュリティ調査では、包括的なエンドポイント保護ソリューションの重要性が説明されています。 以下はこのレポートの主な調査結果です。

  • 28% が、エンドポイントに不正アクセスされたことがあると回答しました。
  • 用いられた手法は様々で、Web ドライブバイ (52%)、ソーシャル エンジニアリング/フィッシング (58%)、認証情報の盗難/侵害 (49%) などがありました。
  • 従来のウイルス対策で検知できたのはわずか 39% でした。
  • SIEM アラートで検知されたのは同じく 39% でした。

インフォグラフィックを見る

エンドポイント保護プラットフォーム vs 従来のウイルス対策

エンドポイント保護プラットフォーム (EPP) と従来のウイルス対策ソリューションには、いくつか大きな違いがあります。

  • エンドポイント セキュリティ vs. ネットワーク セキュリティ:
    ウイルス対策プログラムが保護するのは1つのエンドポイントのみで、そのエンドポイントだけを可視化し、また多くの場合、そのエンドポイントからのみ可視化します。 対してエンドポイント セキュリティ ソフトウェアは企業ネットワーク全体を監視し、接続されているすべてのエンドポイントを集中コンソールからみることができます。
  • 管理:
    従来のウイルス対策ソリューションでは、ユーザー自身が手動でデータベースを更新するか、または事前定義された時間にのみ自動更新できました。 EPP は相互通信するセキュリティを提供するので、管理責任をエンタープライズ IT、またはサイバーセキュリティ チームに移管できます。
  • 保護:
    従来のウイルス対策ソリューションは、シグネチャを用いてウイルス検知をしていました。 つまり、その企業が初めての被害者だった場合や、ユーザーがウイルス対策プログラムを更新していなかった場合には守られません。 しかし、クラウドを活用すれば EPP ソリューションを常に最新化できます。 また、振る舞い分析などにより、これまで特定できなかった脅威を発見できるようになります。

従来のウイルス対策ソリューションと最新のエンドポイント保護プラットフォームの違いについて、詳細をご覧ください

ウイルス対策の進化 — シグネチャベースから機械学習へ

エンドポイント セキュリティが初めて登場したのは 1980 年代の終わりです。最初のソリューションは、シグネチャによって悪質なソフトウェア (マルウェア) を認識するウイルス対策ソフトウェアでした。 この初期のウイルス対策ツールはファイル システムやアプリケーションに対する変更を調べるものでした。登録されたパターンと一致する変更が見つかると、フラグを設定したり、プログラムの実行をブロックしました。 インターネットと 電子商取引が広まると、マルウェアの数が増加し、洗練化され、検出が難しくなりました。 最近では、ファイルレス マルウェアが急増し、シグネチャに依存する保護対策だけで対応できる状況ではありません。 このようなマルウェアを阻止するには、複数の対策を組み合わせて使用する必要があります。ウイルス対策はその 1 つにすぎません。

しかし、ツールが増えれば管理は煩雑になります。 複数のセキュリティ製品で機能が重複していたり、製品ごとに管理コンソールが異なるというケースが急増しており、攻撃の全体像を簡単に把握できない企業も少なくありません。 多くのセキュリティ チームが単体のセキュリティ製品を継ぎ接ぎで使用し、統合や自動化を行うことなく、複数のエージェントとコンソールを管理しています。

最近の調査結果でも明らかなように、単独のエンドポイント ソリューションを組み合わせるだけでは、進化を続ける巧妙な脅威に対抗することはできません。 巧妙化を増す攻撃を防ぐには、統合された多層的な防御策に切り替える必要があります。 現在のエンドポイント保護には、環境に潜む脅威の検出と修復を数か月ではなく、数秒で完了することが求められます。 新たな手口の攻撃を検出し、問題を解決するには、接続されているコンポーネント間で脅威インテリジェンスを自動的に共有するクローズド ループ システムが必要です。 統合された多段階の保護対策を導入することで、脅威を連携して分析し、結果を共有することが可能になり、新たに発生する脅威にも効果的に対応することができます。

人と機械が連携して対応すべき段階に来ています。 エンドポイントの保護に機械学習と人工知能を活用することで、進化の速い攻撃にも対応することができます。 ファイアウォール、レピュテーション、ヒューリスティックなどの従来の機能と、機械学習および封じ込めを組み合わせることで最新の攻撃も阻止できるようになります。

法人向けエンドポイント保護と消費者向けエンドポイント保護の違い

法人向けのエンドポイント セキュリティ対策 個人向けのエンドポイント セキュリティ対策
様々なエンドポイントの管理に優れている 単一ユーザーのエンドポイントを少数管理
様々なエンドポイントの管理に優れている 単一ユーザーのエンドポイントを少数管理
集中管理ハブ ソフトウェア エンドポイントが別々にセットアップおよび設定される
リモート管理機能 リモート管理はほぼ不要
遠隔でデバイスのエンドポイント保護を設定 デバイス上で直接エンドポイント保護を設定
関連するすべてのエンドポイントにパッチを適用 ユーザーが各デバイス毎に自動更新を設定
権限の変更が必要 管理者権限を使用
従業員のデバイス、アクティビティ、行動の監視が可能 アクティビティと行動の監視は1ユーザーのみ

高度なエンドポイント セキュリティ ソリューション