コラム/トピック
エンドポイントセキュリティとは?
従来のセキュリティと何が違うのか
インターネットを利用したビジネスが広がり、セキュリティが重視されるようになった結果、「エンドポイントセキュリティ」というセキュリティ対策が注目を集めるようになりました。エンドポイントの環境や使われ方が大きく変化してきたためです。エンドポイントとなる端末やアクセスする場所が多種多様になってきたため、これまで主流であったゲートウェイセキュリティよりもエンドポイントセキュリティの方が効率的であると考えられています。今回は、「エンドポイントセキュリティとは何か?」、「どのようにして安全を守るのか?」について紹介します。
エンドポイントセキュリティとは
エンドポイントセキュリティとは、エンドポイントに対してセキュリティ対策を行うことです。具体的には、エンドポイントとなる機器やそこに保存された情報を、サイバー攻撃や不正アクセス、マルウェアの侵入から守ります。ここでいうマルウェアとは、悪意のあるソフトウェアやコードのことを指します。ウィルスやバックドア、スパイウェアなどをまとめてマルウェアと呼んでいます。
エンドポイントセキュリティは、近年注目されるようになってきた手法です。これに対して、これまで主流だったセキュリティ手法はエンドポイントの前のゲートウェイにセキュリティ対策を行うため、ゲートウェイセキュリティと呼ばれます。
エンドポイントとは
エンドポイントとは、「終端」や「末端」という意味を指す用語です。IT用語としては、ネットワークにつながる多くの機器のなかで「終端となる機器」のことを指します。たとえば、次のような機器がエンドポイントになります。
- 各種サーバー(ファイルサーバー、データベースサーバー、ネームサーバーなど)
- 社内ネットワーク経由で利用する、オフィスにあるPCやプリンター
- 出先からインターネット経由で利用するスマートフォン、スマートウォッチ
- 自宅からインターネット経由で利用する個人のPCなど
エンドポイントの環境変化
近年、エンドポイントの環境や使われ方が大きく変化しています。従来、企業にとってのエンドポイントとは、社内のネットワークに接続された端末を指していました。しかし、現在では、エンドポイントとなる端末の種類も、アクセスする場所も多種多様になっています。その理由は次の4つです。
クラウド化によるインターネット利用の増加
企業が業務にクラウドサービスを利用することが増え、ビジネスでインターネットを利用する機会が大幅に増えました。インターネット経由のアクセスは、社内ネットワークからのアクセスよりもマルウェアの侵入や情報漏えいのリスクが高くなります。そのため、インターネット利用の増加は、リスクの増大につながります。
働き方改革によるテレワークの増加
「働き方改革」への対応が進み、テレワークで働く人も増えてきました。しかし、テレワークはオフィス以外の場所からインターネット経由で社内ネットワークにアクセスすることになるため、リスクの増大につながります。また、テレワークでは「どのような端末から接続されているのか?」を把握しづらいため、ゲートウェイでのセキュリティ対策は難しくなります。
マルウェアや不正アクセスの高度化と複雑化
近年、マルウェアは非常に巧妙化、複雑化しています。標的を定めて時間をかけて侵入する標的型攻撃や、インターネット以外の侵入経路を使うためゲートウェイで検知できないものなどさまざまです。進化のスピードも高速化しており、既存のパターンで検出できないものも増えています。そのため、従来と同じゲートウェイセキュリティでは、すべてのマルウェアを検知しきれません。
エンドポイントやユーザーの多様化
テレワークが増えると、個人所有の端末から社内ネットワークへのアクセスが増えます。個人所有の端末は仕様も利用状況もわからないため、社内では管理しきれません。個人所有の端末が増えると、エンドポイントは多様化・複雑化していきます。さらに、インターネット経由でアクセスするユーザーが増えると、ユーザーのリテラシーも多様化するものです。そのため、内部の人間による情報漏えいや不正アクセス、誤操作への対策を行う必要があります。
なぜエンドポイントセキュリティが重要なのか
企業が「ゲートウェイセキュリティ」よりも「エンドポイントセキュリティ」を重視しているのには、2つの理由があります。
エンドポイントは直接的にデータやファイルにアクセスできる
データやファイルは、エンドポイントとなる端末で操作します。そのため、エンドポイントを乗っ取られるとデータやファイルに自由にアクセスされてしまいます。その結果、データやファイルの流出、破損、身代金目当ての凍結などの被害に遭うケースがあります。それを防ぐためにも、エンドポイントからの侵入を防がなくてはなりません。
エンドポイントはマルウェアや不正アクセスの入口となる
エンドポイントは最もユーザーの近くにあり、ユーザーが直接操作する端末です。社外との通信にも使われるため、エンドポイントはサイバー攻撃にとって入口であり、メインの活動地点です。そのため、エンドポイントへの攻撃は検知しやすいともいえます。エンドポイントで攻撃を検知できれば、被害を未然に防ぐこともできます。
エンドポイントセキュリティとゲートウェイセキュリティの違い
「ゲートウェイセキュリティ」と「エンドポイントセキュリティ」では、対策の基本となる考え方が大きく異なります。
ゲートウェイセキュリティ
目的
ネットワークから「マルウェアの侵入」や「不正なアクセス」などを防ぐこと
保護の対象
社内ネットワークとインターネットの境界線を監視する
保護の方法
ネットワークから侵入するマルウェアを防ぐため、ゲートウェイにファイアウォール、IDS(Intrusion Detection System:不正侵入検知システム)、IPS(Intrusion Prevention System:不正侵入防御システム)などを導入して、外部からの侵入を検知・防止します。
エンドポイントセキュリティ
目的
エンドポイントとそこにあるデータを保護する
保護の対象
エンドポイントとデータを保護するため、「ネットワーク全体」と「接続されているエンドポイント」を一括して監視する
保護の方法
マルウェアの侵入を防ぐだけでなく、複数の段階や方法でエンドポイントを保護し、より強固なセキュリティを実現します。たとえば、次のような方法です。
- 既知のマルウェアをライブラリにより検知する
- 不正な挙動により未知のマルウェアを検知する(振る舞い検知)
- 侵入したマルウェアを検知・拡散防止・除去する
- ID管理やアクセス管理で外部および内部からの不正なアクセスや誤操作を防ぐ
- スパムメール対策(フィルタリング)でマルウェアの侵入を防ぐ
- データを暗号化し、流出後の悪用を防ぐ
- プロセスを隔離し、侵入したマルウェアの拡散や被害を防ぐ
従来のセキュリティ対策の限界
従来は、ゲートウェイセキュリティとエンドポイントでアンチウイルスソフトを併用してセキュリティ対策を行っていました。しかし、これでは現在のマルウェアやサイバー攻撃に対処できなくなってきています。理由は次の3つです。
マルウェアの増加に対して、ライブラリの更新が追いつかない
以前からエンドポイントセキュリティで使われていたアンチウイルスソフトは、ライブラリをもとに既知のマルウェアを検知・駆除・隔離します。しかし、ライブラリに存在しないマルウェアは検知できません。ライブラリにまだ登録されていないマルウェアは容易に侵入することが可能です。これをゼロデイ攻撃と呼びます。また、ライブラリは手動で更新するか、定期的に自動更新する必要があります。
社内ネットワークの外で使われるエンドポイントが増えたため、ゲートウェイセキュリティで保護しにくい
ゲートウェイセキュリティは、社内ネットワークの内部にあるエンドポイントを保護します。社内ネットワークの外部からアクセスしてくるエンドポイントは、ゲートウェイの外にあるため保護できません。
多様なマルウェアを防ぐために複数のセキュリティを組み合わせると管理が大変
従来はゲートウェイセキュリティが主流でした。しかし、マルウェアが多様化しており、これまでとは異なる挙動や侵入経路を持つものが増えてきています。これらに対応するには、多様なセキュリティの併用が必要ですが、いくつものセキュリティツールを管理するのは大変です。
多様なセキュリティ対策を統合したソリューションがあれば、さまざまな効果のあるセキュリティを一元管理できます。たとえば、CTCエスピーの「エンドポイントセキュリティ」のようなものです。
エンドポイントセキュリティの具体的な内容
エンドポイントセキュリティで使われているのは、次のようなプログラムです。従来からエンドポイントセキュリティとして使われていたEPPに加え、いくつもの新しい手法が登場しています。これらを組み合わせて、より強固なセキュリティを実現するのが現在注目されているエンドポイントセキュリティです。
EPP
EPP(Endpoint Protection Platform)は、パターンマッチングを利用したアンチウイルスソフトウェアで、従来から使われていたものです。エンドポイントにダウンロードするファイルをスキャンして既知のマルウェアを検知し、攻撃を阻止・修復します。ただし、未知のマルウェアを検知はできません。クラウドサービスにより、ライブラリが自動的に更新されるものが多くなっています。
NGEPP、NGAV
NGEPP(Next Generation Endpoint Protection Platform)とNGAV(Next Generation Anti-Virus)は、どちらも「振る舞い検知」によりマルウェアを検知することで、EPPの「未知のマルウェアに対処できない」という弱点を補います。
振る舞い検知とは、プログラムの動作から「不審なプログラム」を検知することです。振る舞い検知では、通常のプログラムとは異なる、マルウェア特有の構造や動作をもとに、不審なプログラムを検知します。「これまでに受信したことがないマルウェア」や「ライブラリに存在しない新種のマルウェア」も検知できるのが振る舞い検知のメリットです。
EDR
EDR(Endpoint Detection and Response)は、侵入したマルウェアの検知・拡散防止・除去を行います。EPPやNGEPPがマルウェアの侵入を食い止められなかった場合に、次の段階で被害を最小限にするのがEDRです。EDRはEPPやNGEPPを補完するもので、組み合わせて使うことで強固なセキュリティを実現します。
DLP
DLP(Data Loss Prevention)は、エンドポイントやネットワーク上のデータを常時監視し、不審な動作があればアラートを出したり阻止したりします。DLPは外部からのサイバー攻撃だけでなく、内部からの情報漏えい・持ち出し・誤操作なども防ぐ効果があります。
まとめ:
これからはエンドポイントセキュリティの強化が必須
インターネットを経由したビジネスが増えるにつれて、セキュリティの重要性はますます増大していきます。さらに、マルウェアも進化を続けているため、ユーザーが完璧に対処するのは容易ではありません。
こうした状況のなか、少しでも安全性の高い方法でセキュリティを強化していく必要があります。それも単体のセキュリティではなく、いくつもの段階に分けて重層的に保護していくのが効果的といえるでしょう。そのためには、これまでのゲートウェイセキュリティに加えてエンドポイントセキュリティを強化していくことが必須です。
CTCエスピーには、エンドポイントセキュリティを強化するさまざまなソリューションが用意されています。セキュリティの強化を考えているのなら、一度ご相談ください。