エンドポイントセキュリティとエンドポイント保護

エンドポイントセキュリティは、規模にかかわらず、すべての企業にとって不可欠である広範なサイバーセキュリティプログラムの一部となります。エンドポイントセキュリティは、従来のアンチウイルス製品から、高度なマルウェアや進化するゼロデイ脅威に対する包括的な保護へと進化しました。しかし、その内容と仕組みをご存知ですか？そして、企業は何を知っておく必要があるのでしょうか？

エンドポイントセキュリティとは

エンドポイントセキュリティ（エンドポイント保護）は、サイバーセキュリティの脅威からエンドポイント（デスクトップ、ノートPC、モバイルデバイスなど）を保護することを指します。エンドポイントには、サイバー犯罪者が悪用できる組織のネットワークへの侵入口が生じる可能性があります。エンドポイントセキュリティは、これらの侵入口を悪意のある攻撃から保護します。

エンドポイントセキュリティが重要な理由

近年、企業内のエンドポイントの数は増加しています。この増加が顕著になったのは、Covid-19のパンデミック以降です。世界中でリモートワークが増加するきっかけでした。在宅勤務の従業員や、外出先で公衆Wi-Fiに接続する従業員が増えたことで、企業のネットワークにはこれまで以上に多くのエンドポイントが存在するようになりました。そして、すべてのエンドポイントが、潜在的な攻撃の侵入口となります。

すべての規模の企業がサイバー攻撃の標的となる可能性があります。ノートPCやモバイルデバイスなどのエンドポイントを経由して侵入する攻撃から身を守ることは、ますます難しくなっています。これらのデバイスはハッキングされる可能性があります。そうなると、情報漏えいが起きるおそれがあります。発生した情報漏えいの70%は、エンドポイントデバイスが発生元であると推定されています。情報漏えいは、風評被害を引き起こすだけでなく、金銭面で大きな被害をもたらします。2020年のPonemonの報告（IBMの委託）で、情報漏えいによる世界平均の損失額が386万ドル（米国ではそれ以上）であることがわかりました。データは、企業が持つ最も価値のある資産である場合が多いため、そのデータが失われたり、そのデータにアクセスされたりすると、ビジネス全体が危険な状態になる可能性があります。

リモートワークの増加によってエンドポイントの数が増加しているだけでなく、モノのインターネットの成長のため、企業は、エンドポイントの種類の増加にも対処しなければなりません。

企業に求められるのは、データを保護して、高度なサイバー脅威を把握できるようにすることです。しかし、多くの中小企業では、ネットワークのセキュリティや顧客情報を継続的に監視するためのリソースが不足しているため、漏えいが発生して初めてネットワークの保護を検討することが多いです。漏えいが発生した後も、企業はネットワークとインフラストラクチャに専念し、一部の最も脆弱な要素、つまりエンドポイントデバイスを保護しないで放置することがあります。

エンドポイントとその機密データが抱えるリスクは、サイバーセキュリティの継続的な課題です。さらに、エンドポイントを取り巻く環境は進化を続けているため、中小企業も大企業も、すべての企業がサイバー攻撃の標的となっています。これが、エンドポイントセキュリティとその仕組みを理解することが重要である理由です。

エンドポイントセキュリティの仕組み

エンドポイント保護、エンドポイントセキュリティ、およびエンドポイント保護プラットフォームという用語は、組織がエンドポイントを保護するために使用する一元管理型のセキュリティ製品を指すためにしばしば同じ意味で使用されます。エンドポイントセキュリティは、ファイル、プロセス、およびシステムに不審なアクティビティや悪意のあるアクティビティがないかチェックする形で行われます。

組織は、悪意のあるユーザーがマルウェアなどのツールを使用してシステムに侵入するのを防ぐために、デバイスにエンドポイント保護プラットフォーム（EPP）をインストールできます。他の検知と監視のツールとともにEPPを使用して、漏えいの発生前に、疑わしい動作にフラグを設定して漏えいを予防できます。

エンドポイント保護には、組織独自のネットワークに接続することができる一元管理コンソールが備わっています。管理者は、このコンソールを使用して、潜在的なサイバー脅威を監視および調査して、その脅威に対応することができます。このことは、オンプレミス、クラウド、ハイブリッドのいずれのアプローチでも実現可能です。

オンプレミス：オンプレミスのアプローチでは、管理コンソールのハブとしての役割を果たすローカルホストのデータセンターが必要です。ここから、エージェントを介して各エンドポイントに接続し、セキュリティを提供します。このアプローチは古いモデルと考えられており、管理者は通常、施設内のエンドポイントしか管理できないため、セキュリティサイロが生じるなどの欠点があります。

クラウド：このアプローチでは、管理者が、デバイスが接続するクラウド上の一元管理コンソールを介して、リモートでエンドポイントを監視および管理できます。クラウドのソリューションでは、クラウドの長所を利用して、サイロを解消して管理者が管理する範囲を広げることで、従来の方法では対応できなかった施設の境界にもセキュリティを確保します。

ハイブリッド：ハイブリッドのアプローチは、オンプレミスとクラウドの両方のソリューションを兼ね備えたものです。パンデミックの影響でリモートワークが増加したため、このアプローチが広く普及しました。多くの組織は、従来のアーキテクチャとその要素をクラウド向けに適応させて、ある程度のクラウド機能を獲得しています。

クラウドを使用して脅威情報のデータベースを保持するEPPによって、この情報をローカルに保存することに関連する肥大化や、これらのデータベースを常に最新の状態にするために必要なメンテナンスから、エンドポイントが解放されます。クラウドベースのアプローチは、他のアプローチよりも迅速で拡張性に優れています。一部の大企業では、規制のため、オンプレミスのセキュリティが必要になることがあります。中小企業にとっては、おそらくクラウドベースのアプローチのほうが適しているでしょう。

エンドポイントセキュリティソフトウェアには、一般的に以下の要素が含まれています。

ゼロデイ脅威を検知する機械学習
敵意のあるネットワーク攻撃を防止する統合ファイアウォール
フィッシングなどのソーシャルエンジニアの試みから保護するメールのゲートウェイ
組織内からの脅威（悪意のある脅威と偶発的な脅威）をブロックするインサイダー脅威保護
複数のエンドポイントデバイスとオペレーティングシステムでマルウェアを検知して除去する、高度なアンチウイルス保護とアンチマルウェア保護
安全なWeb閲覧を支援するプロアクティブ保護
データの流出を防ぐための、エンドポイント、メール、およびディスクの暗号化

これらの要素に加えて、エンドポイントセキュリティの最終的な構成として、管理者向けの一元化されたプラットフォームを実装して、可視性を改善し、操作を簡素化して、脅威の迅速な隔離を可能にします。

エンドポイントセキュリティに関連して、EPPの略称だけでなく、EDRという略称を見かけることもあるでしょう。EDRは「Endpoint Detection and Response」の略称です。一般に、エンドポイント保護プラットフォーム（EPP）は受動的な脅威保護と認識されていますが、それに対してEDRは、既に発生した侵害を調査して封じ込めるのに役立つため、より能動的です。EPPは隔離によって各エンドポイントを保護しますが、EDRは複数のエンドポイントにまたがる攻撃のコンテキスト情報やデータを提供します。最新のエンドポイントセキュリティプラットフォームは、たいていEPPとEDRの両方を兼ね備えています。

在宅勤務中の男性。リモートワークの普及に伴い、ほとんどのビジネスでエンドポイントの数が増加しました。

どのようなものがエンドポイントと考えられるか

ネットワークエンドポイントは、組織のファイアウォール外から組織のネットワークに接続するすべてのデバイスを指します。エンドポイントデバイスには以下のようなものが挙げられます。

ノート PC
タブレット
デスクトップコンピューター
モバイルデバイス
IoT（モノのインターネット）デバイス
ウェアラブルデバイス
デジタルプリンター
スキャナー
販売時点管理（POS）システム
医療機器

基本的に、インターネットと通信するすべてのデバイスは、エンドポイントであると考えることができます。

ハッカーは、情報にアクセスして盗み出す方法や従業員を騙して機密情報を開示させる方法を新たに考案しているため、サイバー脅威の状況はますます複雑になっています。データ漏えいによって起きる風評被害や経済的損失を考慮すると、すべての規模の企業にとって、エンドポイントセキュリティは不可欠です。カスペルスキーは、企業向けのさまざまなエンドポイントセキュリティソリューションを用意しています。こちらでご確認ください。

他の読み物：