エンドポイントプラットフォームは次世代セキュリティの形
エンドポイントセキュリティが重視されるにつれ、エンドポイントプラットフォームへの注目が高まってきています。エンドポイントプラットフォームとは、エンドポイント管理とエンドポイントセキュリティを包括的に運用管理するためのプラットフォームです。
サイバー攻撃の多様化と増加、さらにテレワークの普及により、端末の場所や環境を問わずにセキュリティを確保する必要が出てきました。そこで、多くのエンドポイントを一元的に管理し、保護できる仕組みが求められているのです。
ここでは、サイバー衛生やエンドポイントセキュリティをトータルに管理できるエンドポイントプラットフォームについて説明します。
エンドポイントプラットフォームとは
エンドポイントプラットフォームとは、エンドポイントの統合管理からセキュリティ対策までを含めた包括的なプラットフォームです。エンドポイントプラットフォームの価値を理解するために、以下の3つの概念を解説します。
サーバーハイジーン
サイバー衛生管理は、IT環境の健康管理のようなものです。サイバーハイジーン(Cyber Hygiene)ともいいます。IT環境やPC、インターネット接続環境を常に健全な状態に保ち、脆弱性が出ないようにするために平時から行われるセキュリティ対策です。
具体的には全端末の状況をリアルタイムに把握し、連続的に脆弱性を可視化して適切な対応を行います。情報システム部門だけでなく、ユーザーである一般社員にも必要な姿勢です。
EPP
EPP(Endpoint Protection Platform)はエンドポイント保護プラットフォームとも呼ばれる、エンドポイントセキュリティを実現するための技術です。複数の検知技術を組み合わせて、マルウェアからエンドポイントを守ります。目的はネットワークに入ってくるファイルを検査し、マルウェアによる攻撃を水際で検知することです。
従来一般的であった、データライブラリを使って既知のマルウェアを防ぐ「パターンマッチング方式」だけではなく、エンドポイントの動作や挙動からマルウェアの特徴があるプログラムを検知する「振る舞い検知」や、機械学習を用いた検知方式など、新しい技術の組み合わせで既知のマルウェアと未知のマルウェアの両方を検知できるソリューションもあります。それによって、エンドポイントでマルウェアの被害が出ないよう、事前に攻撃を防ぐことが可能です。
EDR
EDR(Endpoint Detection and Response)は、エンドポイントにおける検知と対応という意味です。エンドポイントをリアルタイムに監視し、サイバー攻撃を検知したら速やかに対処します。
EDRはサイバー攻撃を防ぐためのものではありません。サイバー攻撃を受けることを前提に、攻撃を可視化して迅速に対応し、被害を最小限にするためのものです。
サイバー攻撃への対策は網羅的に行う必要がある
サイバー攻撃の種類は多種多様で進化も速く、1つの対策ではすべての攻撃を防ぎきることはできません。十分なレベルのセキュリティを確保するためには、脆弱性を最小限にするサイバー衛生管理、水際防御であるEPP、被害を最小限に抑えるEDRの3つを組み合わせる必要があります。
エンドポイントセキュリティとは
エンドポイントセキュリティとは、ネットワークの終端にある端末(エンドポイント)と、そこに保存されたデータを不正アクセスやマルウェアから防ぐことです。ネットワーク上のゲートウェイではなく、端末自体でマルウェアの検知や封じ込めを行います。
それによって、端末がネットワーク上のどこにあっても、不正アクセスや情報漏えい、踏み台にされる被害などを防ぐことが可能です。
エンドポイントとは
エンドポイント(endpoint)とは、もともと「末端」「終点」という意味です。IT用語としては、ネットワークの最後にある端末のことをいいます。
オフィスや家庭など場所を問わず、ネットワークにつながっている端末はすべてエンドポイントと呼ぶことができるでしょう。具体的には、PC、サーバ、モバイルデバイス、プリンターなど、さまざまなものがあります。
なぜエンドポイントセキュリティが重要なのか
エンドポイントセキュリティは、次のような理由で、近年重要視されてきています。
エンドポイントが使われる場所の多様化
働き方改革や昨今の新型コロナウィルスの影響でテレワークが推進され、オフィス以外でも仕事を行うことが多くなりました。テレワーク環境においては、端末は社内ネットワーク上にはなく、インターネット経由で社内ネットワークにアクセスします。そのため、ゲートウェイでセキュリティを確保することが困難になりました。
テレワークでもセキュリティを確保するためには、端末の場所を問わないセキュリティを実現する必要があります。そこで、端末(エンドポイント)そのものでセキュリティを確保できるエンドポイントセキュリティが求められているのです。
エンドポイントに保存されているデータの重要性
エンドポイント、つまり業務を行う端末の多くには、業務上のデータやファイルが多数保存されています。しかし、テレワークではネットワーク上のセキュリティが十分に実現されていることは少ないため、そこから情報漏えいが起こるリスクも小さくありません。
エンドポイントに保存されているデータの重要性が認識されるにつれ、それを保護するエンドポイントセキュリティの重要性も大きくなっています。
なぜエンドポイントプラットフォームが必要なのか
エンドポイントが使われる場所の多様化と、エンドポイントに保存されているデータの重要性により、エンドポイントセキュリティがより重要になってきています。
一方で、エンドポイントごとにセキュリティを確保するのは合理的ではありません。それには次のような理由があります。
エンドポイントの種類の多様化
テレワークや働き方改革により、私物の端末を業務に利用する社員が多くなりました。いわゆるBYOD(Bring Your Own Device)です。そのため、PCだけでなくスマートフォンやタブレットなど、多様な端末が業務に使われています。その分、エンドポイントセキュリティの実現も複雑になっているのです。
マルウェアの多様化と増加
インターネット上には膨大な数のマルウェアが流通しており、しかも進化を続けているため、リスクは日々増大しています。エンドポイントのセキュリティを強化することが必要ですが、ユーザー(一般社員)だけで実現することは困難です。
そこで、エンドポイントプラットフォームが求められるようになりました。エンドポイントの管理と保護を包括的かつ合理的に実行でき、強固なエンドポイントセキュリティを実現できるからです。エンドポイントプラットフォームであれば、端末の種類を問わず、マルウェアの進化に対応したセキュリティ対策を行えます。
サイバーハイジーンによりリスクの発生頻度を下げる
エンドポイントプラットフォームを利用して日常的にサイバー衛生に取り組むことで、セキュリティリスクを下げ、より安全に端末を利用できます。具体的には、次のような機能があります。
- パッチや修正プログラムを適切に適用することで脆弱性を解消する
- モニタリングによりエンドポイントの状況をリアルタイムに可視化して把握する
- 社内のセキュリティ意識を醸成し、情報システム部門だけでなく一般社員にもサイバー衛生を意識させるような取り組みをサポートする
インシデントレスポンスによりリスクの影響度を小さくする
エンドポイントプラットフォームでは、端末管理のためにインシデントレスポンスという機能がサポートされています。
インシデントレスポンスとは、セキュリティインシデントが起こった際、どのように検知・対応・復旧するかという規定です。インシデントとは、フィッシング、マルウェア、サイトの改ざん、DDos攻撃などの攻撃のことを指します。
インシデントの発生をゼロにすることは現実的に不可能ですが、あらかじめ対応策を考え、素早く対応することで、被害を最小限に抑えることができます。
まとめ エンドポイントでのセキュリティ管理はより重要になっていく
テレワークが増えるにつれ、セキュリティリスクも多様化しています。そこで大切になってくるのがリスクの発生頻度を下げるサイバー衛生(サイバーハイジーン)、インシデントに素早く対応しリスクの影響度を小さくするエンドポイントセキュリティ対策です。タニウムでは、トータルでエンドポイントセキュリティを実現するプラットフォームを提供しています。トータルにセキュリティを実現するUES(統合エンドポイントセキュリティ)と、トータルにエンドポイントを管理するUEM(統合エンドポイント管理)です。この2つを併用することで、包括的にエンドポイントを管理していくことが可能となります。