エンドポイントは、モダンなネットワークにおいて最も頻繁に攻撃の対象となるサーフェイスです。エンドポイント セキュリティのしくみを知り、それが機能しない場合に何が失われるかを理解することは、より強固なセキュリティ態勢を築くための第一歩です。
エンドポイント セキュリティとは何か、なぜ重要なのか
重要なポイント
- エンドポイントの保護は、強さと回復性を備えたサイバーセキュリティ態勢を築くための基礎です。
- エンドポイント セキュリティという分野は、ウイルス対策ソリューション ソフトウェアの範疇をはるかに超えて広がる多層的なものです。
- 適切なエンドポイント セキュリティ ソリューションには、リスクを減らし、対応を迅速化し、コンプライアンスを強化する効果があります。
エンドポイント セキュリティの基本事項を解説
デバイスには、ネットワークに接続するたびに、生産的活動の機会、共同作業の機会、そして残念ながら攻撃の機会が必ず発生します。では、エンドポイント セキュリティとはそもそも何でしょうか? それは、データの盗難につながる不正アクセス、悪意あるソフトウェア、攻撃から、こうした接続ポイントを守るためのプラクティスです。
この種のセキュリティは、ネットワークにアクセスするデバイスに対して監視、管理、セキュリティ保護を行い、それらのデバイスが組織のセキュリティ基準を満たしている状態を接続前にも接続後にも維持します。
エンドポイントと見なされるのは、どのようなものですか?
エンドポイントとは、ネットワークに接続して情報交換を行うあらゆる物理的なデバイスです。たとえば、以下のものは明らかにエンドポイントに該当します。
- ノート PC、デスクトップ コンピューター。
- スマートフォン、タブレット。
- サーバー、ワークステーション。
- 仮想マシン。
しかし、たとえばモノのインターネット (IoT) ハードウェアのように、必ずしも明らかではないが該当するデバイスも増えています。IoT 環境を構成するカメラ、スマート スピーカー、サーモスタット、その他のコネクテッド機器は、目立たないため、組織がセキュリティ態勢を評価する際に見過ごされがちです。
エンドポイント セキュリティを必要としているのは誰ですか?
簡単に言えば、ネットワークをお持ちのあらゆる組織にとって必要です。グローバル企業でも地元の会社でも、ネットワークにつながっている 1 つ 1 つのデバイスすべてが脆弱性になる可能性を持っています。今ではリモート ワークやハイブリッド ワークが恒常的に使われるようになり、どの会社でも、管理すべきエンドポイントの数が大幅に増えています。
エンドポイントが最大の攻撃対象になる理由
エンドポイントが攻撃者にとって魅力的である理由は、主に 2 つあります。第 1 に、従来のネットワーク境界の外側にある場合が多いため、監視や防御が困難であることです。第 2 に、取り扱い方がユーザーの行動に大きく左右されるものであり、ユーザーは (たとえ悪意がなくても) 間違いを犯すことです。攻撃者の狙いは、ユーザーが悪意あるリンクをたった 1 回クリックするだけで、またはオペレーティング システムのパッチを適用していないだけで十分に達成されるおそれがあります。
そうした露出が、組織の管理対象となるエンドポイントの多様さの分だけ存在することになります。どのデバイスの種類も、オペレーティング システムも、アクセス パターンも、それぞれに特有の潜在的な弱点群を抱えています。
エンドポイント セキュリティと、より広範なセキュリティの構図
エンドポイント セキュリティは、それだけで孤立して機能するわけではありません。ネットワーク セキュリティ、ID 管理、クラウド セキュリティを含む広範な多層防御セキュリティ戦略の中で 1 つのレイヤーを受け持つものです。それらのレイヤーが連携して、脅威の重大度が上がる前に検知と対応を行うための可視性と管理策を組織に提供します。
エンドポイント セキュリティによる脅威拡大防止のしくみ
エンドポイント セキュリティは、脅威ライフサイクル全体にわたって協調的に機能する各種能力のセットです。目標は、脅威の侵入を未然に阻止することと、問題が発生した場合には、防御をすり抜けた脅威を捕捉して迅速に対応することです。
予防、検出、応答
エンドポイント セキュリティの機能は、以下 3 つのフェーズに分けて理解することができます。
1. 予防 - 既知の脅威がデバイスに到達することを防ぎます。インシデントが発生する前に、悪意あるファイルをブロックし、認可していないアプリケーションを制限し、セキュリティ ポリシーを適用することで、エンドポイント セキュリティは脅威を迅速に無力化します。
2. 検出 - 未然に阻止されなかった脅威を見つけます。リアルタイム監視と行動分析を使って、エンドポイント セキュリティ ツールは、お持ちのさまざまなデバイス上で起きていることを継続的に監視し、確立されたパターンから逸脱した活動を探し出します。これは、他の方法で見つけにくい不審なアクティビティ (まだ観測されたことがない攻撃手法など) を識別するために役立ちます。
3. 応答 - ループを完結させます。脅威が確認された場合、エンドポイント セキュリティ機能は、迅速な封じ込めと修復をサポートするために、影響を受けたデバイスの隔離、疑わしいプロセスに対するフラグ付けと、セキュリティ チームの調査と対応に必要な情報提供を行います。
ポリシーの適用とデバイス制御
エンドポイント セキュリティは、脅威に受動的に対応するだけでなく、正常なセキュリティ ベースラインの維持に関する予防的な役割を担います。具体的には、構成標準の適用や、どのデバイスにネットワーク アクセスを許可するかの制御、および、取り外し可能メディアや無許可の周辺機器の使用制限などを行います。これは、個々のデバイスすべてについて、セキュリティ基準を満たした状態をオンボード時だけでなく継続的に保つためです。
ID、ネットワーク、クラウド セキュリティとの統合
モダンなエンドポイント セキュリティ ソリューションは、ID 管理システム、ネットワーク セキュリティ ツール、クラウド セキュリティ プラットフォームとの間でシグナルの共有や協調的な対応を行うように設計されています。たとえば、疑わしいログイン試行によって ID システムにアラートが発生した場合、そのコンテキスト情報はデバイス上のエンドポイント セキュリティ ツールによる対応にも役立てられます。逆方向にも同様のことがいえます。これにより、セキュリティ チームは環境全体の状況をより的確に把握でき、攻撃者による日常的なチェックと悪用の対象であるセキュリティ上の盲点を減らすことができます。
堅固なエンドポイント セキュリティ プログラムの構成要素
エンドポイント セキュリティへの投資がビジネスに不可欠である理由
会社のネットワークに接続されるデバイスの数が増え続けていることに伴い、セキュリティ チームが防衛しなければならない攻撃面も拡大しています。そして、攻撃者もそれに気づいています。モダンな脅威は、姿を隠しながら標的を絞って活動する能力を持ち、自動化機能を高度化させており、従来型の防御を回避しながらできるだけ長期にわたって環境内に居座るよう設計されています。
リモート ワークおよびハイブリッド ワークという要因
就業環境がリモート化やハイブリッド化が進んだことで、エンドポイント セキュリティを考える際の感覚は根本的に変わりました。従業員は、ホーム ネットワーク、カフェ、共用のワークスペースから会社のリソースに接続し、会社管理デバイスと個人用デバイスを併用して作業することが多くなりました。Bring Your Own Device (BYOD) ポリシーは現実的なやり方であり人気もありますが、保護対象デバイスの範囲が広がり、しかも IT 部門は必ずしも完全な制御権を握れないため、複雑さを増大させる要因になっています。
対応を誤ることのビジネス リスク
エンドポイント侵害の影響は、即座に生じる技術的影響をはるかに超えて大きく広がります。重大なエンドポイント侵害が起きると、組織は、以下のような何重ものビジネス リスクに直面することになります。
- データの損失に加え、機密情報保護を怠ったとして規制違反の罰を受ける潜在的な可能性がある。
- 侵害されたシステムをオフラインにして調査および修復を行うため、運用に混乱が起きる。
- ビジネスの評判に傷がつき、顧客からの信頼を失う可能性と、長期にわたって売上を落とす可能性がある。
- ランサムウェアによって発生する賠償や復旧のコストは、中規模の組織でも数百万ドル級の高額になる場合があります。
正しく対応することのメリット
エンドポイント セキュリティに投資することの意味は、単に不都合な事態を避けるためだけではありません。成熟度の高いエンドポイント セキュリティ プログラムには、以下のような具体的なメリットをもたらし、セキュリティ態勢を全体的に強化する効果があります。
- 継続的な監視と先手の脅威予防策により、侵害リスクを減らすことができる。
- 検出と応答のスピード アップにより、問題発生時の露出の規模を限定することができる。
- リモートやモバイルのエンドポイントを含め、組織環境内のあらゆるデバイスをより高い可視性で把握できる。
- 一貫したセキュリティ管理策、監査対応可能な記録管理をデバイス フリート全体について維持することにより、コンプライアンス態勢を強化できる。
- 脅威の早期発見により、大きなコストがかかるインシデント対応を未然に回避し、経営面と財務面への影響を抑えることができる。
より良い習慣をエンドポイント環境全体に定着させる
エンドポイント セキュリティというテーマの重さは、テクノロジだけで支えられるものではありません。効果の高いやり方で取り組んでいる組織においては、適切なツールと一貫したプラクティスの組み合わせにより、すべてのレイヤーのリスク低減が実現されています。これらは、正しく対応する価値がある重要な基礎です。
ゼロ トラスト原則の適用
デバイスに最新のパッチや更新プログラムを適用した状態を保つ
パッチ未適用のソフトウェアは、攻撃者へのプレゼントです。一貫した規則的なパッチ適用のしくみをデバイス フリート全体に対して確立することは、既知の脆弱性による穴を悪用される前にふさぐことです。セキュリティ チームにとって、これは最大級のリターンが得られる効果的な投資といえます。
最小特権アクセスを適用する
ユーザーやアプリケーションに与えるアクセス権の対象は、実際の作業遂行に必要なリソースのみに限定されるべきです。最小特権アクセスを適用すると、1 つのエンドポイントに侵入した攻撃者が次に取れる行動の可能性を限定し、潜在的な侵害の影響を狭い範囲に封じ込めることができます。
MFA と強力な ID 管理策を活用する
パスワードは、もはやそれ単体では十分な防御策になり得ません。多要素認証 (MFA) は、盗まれた資格情報の利用を大幅に難しくする重要な検証レイヤーを加える手法です。MFA と強力な ID ガバナンスを組み合わせると、単なるユーザーが知っていること以上の情報をアクセスの判断材料として利用できます。
EDR と XDR を使って常時監視する
EDR と XDR のプラットフォームを介して継続的な監視を行うと、脅威を早期に検出して被害拡大の前に対応するための、セキュリティ チームに必要な可視性が得られます。また、アラートのノイズの中で方向性を見失わず、重要度の高いシグナルへの対応を優先的に行うためにも役立ちます。定期的なスキャンや手作業でのレビューだけに頼らず継続的に監視することにより、疑わしいアクティビティをほぼリアルタイムで検出し、調査できます。
従業員にデバイスの安全な使い方を教育する
多くの場合、エンドポイント攻撃の最初の接触者になるのは従業員です。セキュリティ意識向上のためのトレーニングを定期的に実施することは、フィッシングの試みに気づける感覚、安全な閲覧習慣、不審さを感じたときの対応に関する知識をユーザーに身につけさせるために役立ちます。
エンドポイント セキュリティはどこへ向かうのか、それは皆様にとって何を意味するのか
エンドポイント セキュリティの状況は不変ではありません。脅威情勢が移り変わり、組織環境が複雑さを増していく中で、エンドポイントを保護するためのツールと戦略は急速に進化しています。
AI を利用した脅威検出
AI はエンドポイント セキュリティの中で重要な役割を担い、特に、脅威の検出と応答において力を発揮しています。セキュリティ チームでは、膨大な量のエンドポイント データの処理と分析に AI 搭載ツールが活用され、手作業よりもはるかに高い効率で、通常気づかれにくいパターンや異常を明らかにしています。もちろん主導権を握るのはあくまでセキュリティ アナリストであり、AI はその能力の増幅装置として、作業のスマート化、対応の迅速化をサポートします。
ゼロ トラストの導入
ゼロ トラストはもはや流行語ではなく、主流のプラクティスになりました。エンドポイント セキュリティは、それを機能させる上で中心的な位置を占めています。デバイス正常性の検証、最小特権アクセスの適用、信頼シグナルの継続的な再評価は、いずれも、エンドポイントの強力な可視性と制御があってこそ成り立ちます。公式なゼロ トラスト戦略を定める組織が増えるにつれ、エンドポイント セキュリティ プログラムは、最初からゼロ トラスト原則を組み込んで設計されることが多くなっています。
エンドポイント、ID、クラウド セキュリティの集約
エンドポイント、ID、クラウドのセキュリティ領域を区別する境界線は曖昧になってきています。攻撃者は異なる領域の手法を組み合わせた活動を日常的に繰り返しています。エンドポイントに侵入して資格情報を盗んでは、それを利用して別のクラウド環境へと横移動し、侵害を広げています。その行動に対応して、セキュリティ プラットフォームは集約され、エンドポイント、ID、クラウドのシグナルがまとめて扱われるようになりつつあります。検出と応答ワークフローの統合により、これまで攻撃者に悪用され続けてきた、セキュリティ領域間の境目にある隙は小さくなっています。
行動分析
行動分析は、モダンなエンドポイント セキュリティを支える基礎の 1 つになりつつあります。既知の脅威シグネチャだけに頼る従来の方法と違って、行動分析では、ユーザーとデバイスの通常のアクティビティを反映したベースラインを決め、そこから逸脱した状況を、脅威を示す可能性があるものとして指摘します。このアプローチは、たとえばファイル レス マルウェアや内部関係者による脅威など、悪意あるファイルやシグネチャをはっきりと検出できないような性質を持つ高度な攻撃への対策にとりわけ有効です。攻撃者が検出回避能力の高い手口を発達させている中で、行動分析は、効果的なエンドポイント防御の中心的な機能になっていくと考えられます。
ニーズに応じた最適なエンドポイント セキュリティ ソリューションの選び方
エンドポイント セキュリティは従来型ウイルス対策ソリューションの枠をはるかに超えて進化してきました。エンドポイント セキュリティ管理も同様です。今や、組織が導入できるソリューションには幅広い選択肢があり、最適な組み合わせは、実際の環境の規模と複雑さ、リスク プロファイル、セキュリティ チームの運営方法によって異なります。
従来型と次世代型のウイルス対策ソリューション
従来型ウイルス対策ソフトウェアでの脅威検出は、悪意を示す既知のシグネチャのデータベースにファイルを照らし合わせることで行われます。これは必要な基礎能力ですが、もはや十分な対策にはなり得ません。そこを基盤にしつつ、次世代ウイルス対策ソリューション (NGAV) では、行動分析、機械学習、クラウドベースの脅威インテリジェンスを加えることにより、既知のシグネチャとの一致では検出できない脅威を捕捉します。現代の多くの組織にとっては、NGAV こそが最低限実用的なエンドポイント保護の出発点です。
エンドポイントでの検出と対応 (EDR)
拡張検出と応答 (XDR)
モバイル デバイス管理 (MDM) と統合エンドポイント管理 (UEM)
組織が扱うデバイス フリートの多様性はいっそう増大しており、エンドポイントの管理と保護を 1 つのプラットフォームから実行できることの必要性が高まっています。MDM はモバイル デバイスに特化したソリューションであるのに対し、UEM プラットフォームは、管理機能の対象範囲をすべての種類のエンドポイント (デスクトップ、ノート PC、モバイル デバイス、IoT ハードウェアなど) に広げたものです。クラウドベースの UEM ソリューションである Microsoft Intune は、組織において、さまざまなプラットフォームを含めた横断的なエンドポイント管理および保護、コンプライアンス ポリシーの適用、ゼロ トラスト アクセス制御のサポートに役立ちます。
クラウド提供型エンドポイント保護
クラウド提供型のエンドポイント保護プラットフォームには、オンプレミスの従来型ソリューションと比べて以下のようなメリットがあります。
- 脅威インテリジェンスの更新スピードが速い。
- インフラストラクチャのオーバーヘッドが低い。
- 従業員の作業場所が分散した状況への対応力が高い。
クラウド提供型ソリューションでは、脅威データがクラウド上で処理されて共有されるため、すべての保護対象デバイスにおいて、より迅速に一貫した形で新たな脅威への対応ができます。Microsoft Defender for Endpoint は基本からクラウド提供型として設計されたソリューションであり、煩雑なオンプレミス インフラストラクチャ管理の負担なしにエンタープライズレベルの保護を実現できます。
よく寄せられる質問
よく寄せられる質問
- エンドポイント セキュリティ管理とは、ネットワークに接続されたすべてのデバイスに関するセキュリティを監督および維持するプロセスです。具体的には、デバイスのインベントリ管理、セキュリティ ポリシーの適用、パッチの管理、脅威の監視などが含まれます。こうしたタスクの管理を多種多様なデバイス群に対して集中的に行うには、Microsoft Defender のようなプラットフォームが役立ちます。また、効果的なエンドポイント セキュリティ管理は、ゼロ トラスト戦略 (会社のリソースへのアクセスを許可する前にデバイス正常性の検証を毎回要求する管理方法) を支える基礎となる要素です。
- ネットワークに接続されたあらゆるデバイスには、エンドポイント セキュリティが必須です。ノート PC、デスクトップ、ワークステーション、サーバー、スマートフォン、タブレット、仮想マシンはこれに該当します。また、カメラ、スマート スピーカー、サーモスタットなどの IoT デバイスも同じくエンドポイントですが、強固なセキュリティ管理の適用外になっている場合が多いため、攻撃者の標的にされがちです。ネットワークにつながっているすべてのデバイスは悪用される可能性があります。
- ウイルス対策ソリューションは要素の 1 つであり、エンドポイント保護はそれよりもはるかに広い範囲を対象とします。従来型ウイルス対策ソリューションは、脅威シグネチャを使って既知のマルウェアを検出します。エンドポイント保護には、行動分析、リアルタイム監視、EDR、暗号化、パッチ管理など、広範なデバイス セキュリティ能力がすべて含まれます。ウイルス対策ソリューションは起きたことに受動的に対応するものであるのに対し、モダンなエンドポイント保護は、継続的に機能し、攻撃のライフサイクル全体を対象にして脅威を捕捉するように設計されています。
- ファイアウォールは、ネットワーク トラフィックを制御し、事前に定義したルールに基づいて接続を許可またはブロックします。エンドポイント セキュリティの主眼は、デバイスそのものを保護すること、挙動を監視することと、既にネットワーク境界から侵入した可能性がある脅威を検出することにあります。ファイアウォールは、内側のネットワークで発生した脅威や、侵害されたユーザー アカウントによって持ち込まれた脅威に対しては防御効果を持ちません。エンドポイント セキュリティにはその不足部分を埋める意味があります。つまり、これら 2 つのアプローチは、どちらか一方よりも両方を組み合わせることで強力な効果を発揮します。
Microsoft Security をフォロー