エンドポイントセキュリティとは？その仕組みと重要性、対策のポイントについてICT Solution!

インターネットなしには業務が成り立たない世の中になった。それと比例してサイバーセキュリティの重要性も高まるわけだが、過去に講じたセキュリティ対策が今も有効だと思い込むのには警鐘を鳴らしたいところ。サイバー攻撃は巧妙化し、外からの侵入を防ぐ水際対策だけでは十分なセキュリティ対策が取れているとはいえないのが現状である。
在宅勤務中のPCにサイバー攻撃が加えられ四苦八苦している情シスがここにもひとりーーー

──── マルチLANハンドからウイルスが多田野部長のPCに届く。────

Dr.プロトコルの武器のひとつ。伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

—---トゥルルルトゥルルル

──── いやいや電話に出るにのまえ────

エンドポイントの機器や機器内のデータをマルウェア等のサイバー攻撃から守るためのセキュリティ対策のことをエンドポイントセキュリティという。

エンドポイントとは広い意味では末端のことだが、企業でいえばPCやサーバーなど、ネットワークの末端に接続されている機器のことである。テレワークが普及している現在では、スマホやタブレットなどのいわゆるスマートデバイスと呼ばれる端末もエンドポイントセキュリティの対象となる。

エンドポイントセキュリティでやるべきは、ウイルスの侵入を防ぐことと侵入したウイルス被害を最小で食い止めることである。
一見矛盾しているように見えるが、100%防御が叶わない限り、この両軸で対策しなければならない。ウイルスの侵入を防ぐには、EPPやNGEPP、NGAVといったツールが必要になる。
また万が一マルウェア等がそれらをすり抜けたとしてもEDRによる監視で、検知することが可能だ。怪しい挙動を検知したときはアラートメール通知をしたり、リスクが高いものと判断されれば、対象を自動でネットワークから隔離したりすることもできる。問題のあるエンドポイントをリモートから調査したり復旧したりする作業も可能なのだ。

エンドポイントセキュリティの重要性について、注目されている背景やなぜ重要なのかという観点から解説していこう。

サイバー攻撃は近年、ますます高度化している。
パターンマッチングで既存のマルウェアを発見することはできても、未知のマルウェアを確実に検知することは難儀である。また、テレワークが常態化し、出社しなくとも効率よく作業できるようにクラウドサービスを利用する機会も増えていることだろう。会社が管理していない自宅ネットワークから「VPNを介さず直接クラウドへアクセスしている」なんてこともあるだろうが、せっかく社内ネットワークとインターネットの境界にセキュリティを講じても、そこを通らないのでは無防備にインターネットに出ていることになる。このように、従来のように社内にある端末を社外の攻撃から守るという仕組みだけではサイバー攻撃の脅威に対応できなくなっていることで、エンドポイントセキュリティの必要性が日毎に増しているのである。

知らない間にネットワーク内部にマルウェア侵入を許してしまうと、エンドポイントに寄生したウイルスがインシデントとして可視化されるまで水面下で攻撃を広げてていく。ゲートウェイセキュリティ製品は、マルウェアの通信内容やマルウェアそのものをトラフィック上のデータとして判別するため、マルウェアの挙動までを見て検知する事は出来ない。対して、エンドポイントセキュリティ製品は、マルウェアが攻撃を開始する瞬間の挙動を見て検知する事が出来る。更にマルウェアはエンドポイント上で侵入から感染、不正な動作など行動の全てをそこで行うので、そのプロセスのいずれかで検知が出来ればいい事になる。
つまりエンドポイントでセキュリティを講じる事で、そもそもの検出率を上げる事が出来るのだ。
そして、意図的にゲートウェイセキュリティ製品を介さないアクセス（自宅ネットワークからクラウドサービスへ等）や、直接社内ネットワークに繋がっているパソコンへウイルスを仕込んだUSBスティックを差し込まれる等の脅威にも対処する事が出来る。このように、エンドポイントを脅威から守ることは、重要なセキュリティ対策となるのだ。

境界型ネットワークで代表されるセキュリティ対策といえば、ファイアウォールをはじめとするゲートウェイセキュリティだろう。これさえあれば大丈夫だろうと過信している情シス担当者も少なからずいるのではないだろうか。

ゲートウェイ（Gateway）とは、社内ネットワークと社外ネットワークを繋ぐ出入口のようなものだ。そこに対するセキュリティ対策をゲートウェイセキュリティと呼ぶ。
ゲートウェイセキュリティは外部から社内への不正アクセスを防いだり、社内から外部の怪しいサイトへのアクセスを防ぐ役割を担っている。代表的なものにはファイアウォールやIDS／IPS、URLフィルタリングなどがある。

ゲートウェイセキュリティはネットワークの出入口部分を監視する門番のような役割だ。悪意のあるアクセスに出入口を通過させてしまった場合、内部のことまでは関与できない。一方、エンドポイントセキュリティは内部の各エンドポイントを護るボディガードのような存在だ。どちらの方が必要なのか？を考える必要はない。どちらも必須のセキュリティ対策である。

ファイアウォール単一の機能ではなく、ファイアウォールやアンチウイルス、IDS、IPS等々のセキュリティ機能を一つの機器に統合した統合脅威管理機器がUTMである。脅威の侵入を防ぐ機器であり、ゲートウェイセキュリティに分類される。

エンドポイントセキュリティで使われるサービスを紹介しよう。
目的に応じて様々なサービスがあるため、自社のセキュリティを強化したいポイントに応じて使い分けよう。

EPP（Endpoint Protection Platform）とは、主にアンチウイルスのことを指す。パターンマッチングによりウイルスを検知、駆除する。既知のウイルスにしか対応できず、未知のマルウェアに対応できないのが弱点である。

^{※パターンマッチングとは…あらかじめウイルスの特徴を登録したデータベースをウイルス対策ソフト内に持ち、この情報と検査対象のファイルを逐一比較する方法のことです。}

既存のウイルスしか検出できない従来型のアンチウイルスソフトを補完する機能をもつのがNGEPP（Next Generation Endpoint Protection Platform）、NGAV（Next Generation Anti-Virus）である。
EPPには対処できない未知のマルウェアに対して、サンドボックス（社内ネットワークとは切り離した領域）に誘導し、プログラムの動作から不審な動きを検知（振る舞い検知）することで未知のマルウェアを検出することができる。

DLP（Data Loss Prevention）は、端末等のデータを常時監視して、情報漏洩を防ぐツールであり、不審な動作に対しアラートを出し情報漏洩を阻止する。データそのものを監視することで、外部からの搾取だけでなく、内部による搾取にも対応することが可能となっている。

マルウェアなど脅威の侵入後に不審な動作を検知、対応する。具体的には端末のログを収集し解析、サイバー攻撃等の脅威を検出し管理者へ通知、対象端末の切り離しなどを行う。
EPPやNGEPP、NGAVなどで対処できなかった攻撃に対して、被害を最小化する役割を担う。

「USEN GATE 02― セキュアエンドポイントサービス（Va）」は多様化、巧妙化するサイバー攻撃からエンドポイントを守るトータルエンドポイントセキュリティサービスだ。

ウイルスの侵入検知と侵入後の対応までがセットになっており、EPP・EDR・MSS（マネージドサービス）が機能として備わっている。

^{※MSS…リスクレベルの高いインシデントが検知された際、対象プログラムの正常性及び通信先の確認を行い、調査結果をメールで報告する}

主な特徴は以下の通りだ。

• EPP：パターンマッチングのみならずレピュテーション、サンドボックス、ふるまい検知により未知のウイルスにも対応
• EDR：脅威の侵入が避けられないことを前提として、検知後の影響範囲の特定から復旧までを迅速に行い、業務への影響を最小化
• MSS：連携されたログを解析し、解説メールを通知。電話サポートも実施
• クラウドタイプのため専用サーバ不要、社外にいるPCのアプリケーションの脆弱性も把握できる
• EPPとEDRが1つのアプリで動作するため運用工数も最小限
• 導入は最低5ライセンスから。安価に手軽にPC内の見える化が実現できる