さまざまな種類のエンドポイント セキュリティ ソリューション

エンドポイントセキュリティの基本

エンドポイントとは、あらゆるネットワークに接続するデバイスのことです。一部のエンドポイントは、オフィスPCのように、単一の内部ネットワークにのみ接続されています。これを確保するには、何よりもネットワークセキュリティの問題が重要となる。

（このデバイスがマルウェアにアクセスできるのは、接続先の企業ネットワーク経由のみであるため。）

次に、平均的な企業のモバイル デバイスまたはラップトップを考えてみましょう。 地元のカフェから顧客のオフィスまで、実に様々なネットワークに接続できる。これはつまり、サイバーセキュリティチームはネットワークのセキュリティに頼ることはできないということであり、エンドポイント自体にある程度の保護対策が必要となる。

これは、エンドポイント セキュリティ ソリューションの基本的な使命ステートメントです。エンドポイント デバイス自体からローカルで実行され、疑わしいファイルや動作がないか、基盤となるすべてのプロセスを監視できます。

エンドポイント セキュリティ ソリューションの仕組み

エンドポイントセキュリティ ソリューションは、エンドポイントを監視しながら、検出したすべての情報を企業のサイバーセキュリティ チームに中継します。 これは、企業所有の機器を私的な通話、メッセージ、オンライン検索に使用すべきでない（多くの）理由の1つです。

バックエンドでは、サイバーセキュリティアナリストがこのエンドポイントの動作をほぼリアルタイムで監視できる。

これは非常にスケーラブルなアプローチであり、たとえばラップトップの数が増加しても、エンドポイント セキュリティ ソリューションはこれらすべてのデータを簡単に集約し、すべてのラップトップが最新のパッチを実行していることを確認し、悪意のあるダウンロードを回避することができます。

自動アラート機能により、アナリストはあらゆる見落としに迅速に対応できる。

多様なエンドポイントデバイスにおける課題

さらに問題を複雑にしているのは、エンドポイントデバイスの種類が非常に多いことだ。モノのインターネット（IoT）は、他のインフラストラクチャを監視する小型デバイスであり、多くの場合、重要なコンポーネントに接続されているため、攻撃者にとって格好の標的となる。

しかし、それらは非常に軽量であるため、従来のエンドポイントソリューションをそれらに展開するのは難しい場合があります。これが、エンドポイント セキュリティが複数のソリューションと継続的なアラートの寄せ集めに発展しやすい理由です。

エンドポイントセキュリティソリューションの種類と特徴

エンドポイント セキュリティの種類は、防御しようとしている脅威の種類に応じて大幅に変化する可能性があります。 人気のエンドポイント セキュリティ ソリューションをコア タイプに分類し、その主要な機能を紹介しましょう。

ウイルス対策ソフトウェア

ウイルス対策ソフトウェアは、エンドポイント セキュリティの最も古く、最も確立された形式の 1 つです。 これは3つのステップで機能します。

1. エンドポイントをスキャンし、各ファイルの場所、サイズ、種類を分析する
2. ファイル内のコードを既知のウイルスデータベースと比較することで潜在的な脅威を検出し、疑わしいファイルにはさらなる検査のためのフラグを立てます。
3. 悪意のあるファイルを削除する – 多くの場合、インストールされる前に自動的に削除する

ウイルス対策ソフトの中核となる機能の一つが、このシグネチャベースの保護機能である。

このマルウェアのシグネチャデータベースはアンチウイルスプロバイダーによって管理されているため、実績のあるアンチウイルスプロバイダーを選択するのが最善策となる場合が多い。これより高度なバージョンが次世代アンチウイルス（NGAV）です。これは、シグネチャのみではなく、ファイルの動作に基づいて脅威を識別するために、動作検出を使用します。

Endpoint Detection and Response (EDR)

EDRはエンドポイント保護において最も確立された手法の一つであり、NGAVの保護をさらに一歩進めたものです。NGAVは各エンドポイント上の個々のファイルを監視するのに対し、EDRはセキュリティ情報イベント管理（SIEM）との統合を通じてすべてのデータを使用します。これには以下が含まれます。

• ユーザーアクティビティ
• アプリケーションの動作
• データロギング

これは、エンドポイントに直接インストールされるEDRエージェントによって実現されます。EDRの機能は、主に以下の2つの点に重点を置いています。

1. エンドポイントデータへの詳細な粒度
2. そのデータの自動分析と視覚化

EDR は、エンドポイント セキュリティをマルウェア識別に凝縮するのではなく、多くの場合、エンドポイントの行動認識を使用して、アカウント乗っ取りやフィッシングなどのより悪意のある攻撃キャンペーンを特定できます。

モバイルデバイス管理（MDM）

MDMは、企業向けモバイル端末に特化して、モバイルセキュリティや統合エンドポイント管理に見られるようなユーザー中心の戦略とは異なり、デバイス中心のアプローチを採用しています。MDMプログラムでは、従業員にはノートパソコンやスマートフォンなどの専用の業務用デバイスが支給される場合もあれば、個人所有のデバイスをリモートで登録する場合もあります。

デバイスには、企業データやメールへの役割ベースのアクセス権限に加え、以下のような機能が搭載されます。

• セキュアVPN
• GPS追跡
• パスワードで保護されたアプリケーション

統合エンドポイント管理(UEM)

EDRは有効なソリューションであることが証明されている一方で、統合プラットフォームの普及により、少人数のチームでも可視性を最大限に高め、潜在的な問題を発生源から直接相互参照することが可能になっている。UEMシステムは、すべてのセキュリティツールからの情報を1つのプラットフォームに集約することで、セキュリティツールが分散して管理不能になるという問題を解決します。

エンドポイント セキュリティの 4 つのベスト プラクティス

エンドポイント セキュリティ ソリューションは非常に多くの異なる形式を取ることができるため、エンドポイント セキュリティが機能することを可能にする普遍的なベスト プラクティスを強調することが重要です。

#1：エンドポイントデバイスの在庫管理を行う

エンドポイントソリューションがこれを自動的に行うかどうかに関わらず、エンドポイントインベントリは最低限の保護対策です。これがあって初めて、防御領域におけるあらゆる脆弱性を特定することが可能になります。

#2: 強力な認証を強制する

エンドポイント保護スキームの最も基本的な構成要素の1つは、IDおよびアクセス管理（IAM）です。

乗っ取られたアカウントを特定して隔離できるエンドポイント保護ソフトウェアは存在するものの、そもそも攻撃者をアカウントから遠ざける方が、時間、リスク、コストの面で遥かに効率的である。これを実現するには、次のような強力な認証方法を適用します。

• パスワードのローテーション
• 生体認証
• 複数ファクタ認証

理想的には、IAM（アイデンティティおよびアクセス管理）の制御は、各アカウントが持つアクセスレベルに応じて拡張されるべきである。

#3：委任と自動化

すべてを 24 時間 365 日監視するエンドポイント セキュリティ ソリューションだけでは十分ではありません。誰かが指揮を執る必要があります。 理想的には、社内またはリモートのチームで構成されることが望ましいが、各アナリストのスキルセットに応じて、各構成要素の具体的な責任を割り当てる必要がある。

サイバーセキュリティチームの規模が小さい場合、自動化によって、定期的なパッチ適用などの反復的で時間のかかる作業を効率化できます。

#4：従業員を教育する

技術的な対策は攻撃を防ぐ上で非常に重要だが、対策不可能な要素、つまり「人」についても考慮する価値がある。従業員は、自身の担当するエンドポイントや役割が直面するソーシャルエンジニアリング攻撃に関する最新情報を常に把握しておくべきである。

• 法務担当者はそもそも技術関連の請求書を開封する可能性は低い
• 営業チームは、請求書関連のフィッシングメールを識別する方法について、より詳細な指導を受ける必要があるだろう。