エンドポイントセキュリティとは？重要な理由、対策のポイントや事例を紹介

エンドポイントセキュリティとは、ネットワークの終端にある人間や各種センサーとの接点にあたるIT機器を、サイバー攻撃から守るためのセキュリティ対策のことを言います。
具体的には、PCやスマホ、タブレット、広くはスマートウォッチ、ネットワーク家電などのIoT機器も対象に入ります。 
このネットワークの終端にあるIT機器は、メールの送受信やWebサイトの閲覧など、インターネットを介して外部と通信することが多く、日常的に脅威にさらされていることもあり、エンドポイントセキュリティは今日最も重要なセキュリティ対策の１つになっています。

広い意味のエンドポイントセキュリティとしては、ハードディスクの暗号化からはじまって、BIOS認証やOSログイン認証、PCの書き出し制御、デバイスの接続制御、OSによる各種セキュリティ機能、アンチウイルスソフトやWebフィルタリングソフトなどがあげられます。
スマホの場合はMDM（モバイルデバイス管理）などがあり、ネットワークへの接続時点でチェックする検疫機能や、PCにデータを保持しないシン・クライアントなどもこの範疇に含まれるといえます。 

サイバー攻撃についてはこちらもご覧ください。
＞＞サイバー攻撃とは？種類や日本での被害事例、対策について解説しますのページへ

エンドポイントセキュリティはなぜ重要なのでしょうか。ここではその背景や理由についてご紹介しておきます。

マルウェアとは「malicious software(悪意のあるソフトウェア)」の略語で、情報端末やネットワーク上で動作することで、情報を盗み出したり機能を使用不能にしたりすることを目的として設計された不正ソフトウェアです。コンピュータウィルス、ワーム、トロイの木馬などがマルウェアの代表格として挙げられます。

このマルウェア感染による企業に対するサイバー攻撃事例が年々増えています。

例えば、ランサムウェア（ransomware、「ransom（身代金）」と「software（ソフトウェア）」とを組み合わせた造語）と呼ばれるマルウェアが企業のコンピュータに侵入し、顧客情報や技術情報を勝手に暗号化して閲覧不可能にしてしまいます。この制限を解除することを引き換えに、金銭の支払いを要求されることもあります。企業にとっては時間と費用の損失につながり、業務停止に陥るリスクがあります。

また、標的型攻撃と呼ばれるサイバー攻撃は、不正プログラムを組み込んだ添付ファイルや不正なWebサイトへのアクセスリンクをビジネスメールを装って組織へ送りつけ、企業の機密情報や顧客の個人情報などを盗み出すものです。2015年には日本年金機構がこの標的型攻撃により不正アクセスを受け、125万件以上の情報漏洩の被害になったことがニュースとなりました。

企業が一度情報漏洩を起こしてしまうと、多額の賠償請求や社会的信用の低下を招くことになってしまうというリスクがあります。

エンドポイントセキュリティは、近年ではビジネスに甚大な被害をおよぼすマルウェアへの対策のために活用されることもあり、より一層注目されることになったというのが重要さの増加の背景になっていると言えます。

エンドポイントセキュリティが近年注目されている理由としては次の3つが挙げられます。

第一に、サイバー攻撃者にとっては強固にセキュリティ対策が施されたサーバーよりもエンドポイントの方が脆弱で侵入しやすい面もあり、近年のサイバー攻撃はエンドポイントを標的にしたものへとシフトしてきています。
そんななか、コロナ禍により在宅勤務が当たり前となり、いままでは社内の環境で厳重に守られていたPCを、自宅など社外にもち出さざるを得なくなったことで、さまざまなセキュリティ対策が施された社内ネットワークに対して、社外からのアクセスが発生するようになりました。そのため、セキュリティリスクが増大し、社外にもち出されるエンドポイント端末自体を、サイバー攻撃や情報漏洩のリスクから守ることがますます必要になってきています。

実はこの問題は2005年頃から話題になっており、米Business Communication Review誌の「ネットワークセキュリティを考え直す」という記事のなかで、境界防御（ペリメータセキュリティ）は死んだ。と既に指摘されていました。

このような指摘がありながらも、これまでも営業担当者がPCを社外にもち出したり、テレワークが推奨されているなか、問題だとわかっていても、真剣に取り上げられなかったセキュリティ対策の１つが、コロナ禍で避けられない状況になったというのが実態ではないでしょうか。

２つ目としては、IoT機器の増加が挙げられます。
いまやネットワークには、PCやスマホだけでなく、テレビなどの家電、自動車、医療機器などがつながり、スマート工場や、スマートシティなど活用の範囲も広がって、世界中でさまざまなものが接続されています。ネットワークに直接つながる機器が増加すればするほど、攻撃者の対象となり、セキュリティリスクも増加していくことから、これらのエンドポイント機器に対するセキュリティが今後ますます重要になります。

３つ目としては、サイバー攻撃の高度化が挙げられます。
従来から企業に一般的に導入されているファイアウォールやIPS、URLフィルターやスパムフィルター、サンドボックスなどの境界型防御による対策に加え、アンチウイルスソフトや、セキュリティパッチの適用など、PCのセキュリティ対策は行われてきましたが、近年の高度化したサイバー攻撃、特に標的型攻撃に対しては、守り切れない事象が増えてきました。
そのため、特にPCやスマホなどの情報端末に対しては、アンチウイルスソフトのようなウイルスの感染を防ぐ予防側の対策EPP（End Point Protection）だけではなく、不正アクセスがあった事後においても、素早く検知し対処するEDR（Endpoint Detection and Response）と呼ばれる新しいジャンルのセキュリティ製品が登場してきました。この製品名が、「エンドポイントでの検知と対処」であることから、エンドポイントという単語が注目されるようになりました。

先述の背景や理由から、エンドポイントセキュリティをより一層強化していくことは企業にとって喫緊の課題となってきています。

マルウェアの侵入、感染拡大、活動開始など、マルウェアの悪意ある行動は、すべてエンドポイント上で発生するため、エンドポイント上で脅威を検知し、防御をすることで、サイバー攻撃を未然に防ぐことが可能になります。

そんな脅威の入り口となるエンドポイントのセキュリティ対策における主なポイントを、お伝えします。今回は、エンドポイントのなかでも、企業を狙った攻撃で標的とされるPC端末にフォーカスした対策となりますのでご了承ください。

PC端末のマルウェア感染を未然に防ぐためには一般的にAV（Antivirus）やEPP（End Point Protection）が用いられます。

EPP（End Point Protection）は、従来より普及しているウイルスバスターやMcAfee（マカフィー）などのアンチウイルスソフトがその1つです。
PCやサーバー、モバイル情報端末上に直接インストールしてファイルやディレクトリをスキャンすることで、マルウェアを検出・除去し、感染を未然に防ぐものです。

これらはパターンマッチング型のマルウェア検出手法です。あらかじめアンチウイルスソフトに登録されたウイルスのパターンと情報端末上の対象ファイルをマッチングさせることで、既知のマルウェアを検知します。しかし、パターンとして登録されていない未知のマルウェアは防げないことが弱点です。

そこで、「振る舞い検知」と呼ばれる、マルウェア特有の怪しい振る舞いなどの特徴を判断する技術をもった、NGAV（Next Generation Antivirus）やNGEPP（Next Generation Endpoint Protection）というものが出てきています。未知のマルウェアも防げるというメリットはありますが、それでも可能性はゼロではなく、万が一マルウェアが検知をすり抜けて侵入してしまった場合には対処はできません。

とはいえ、最低限マルウェアの侵入を防ぐにはここまでの対策は必須と言えるでしょう。

AVやEPPのような従来のセキュリティ対策のみではサイバー攻撃を100%防御することは不可能です。
そのため近年は、マルウェアが侵入は防げないことを前提とした対策としてEDR（Endpoint Detection and Response）の導入が増えています。

EDRは、万が一マルウェアが侵入した場合に、その被害の拡大を抑えることを目的にしています。

EPPとは違って、各情報端末を個別に保護するものではなく、ネットワーク全体が保護の対象となります。ネットワークに接続している各エンドポイントを監視し、ログデータの解析を行うことで、サイバー攻撃の兆候を検知して即座に対応するためのものです。

もう少し詳しく、EDRについて補足します。主な機能としては以下のようなものがあります。
（１）組織内のPC（＝エンドポイント）に監視センサーを導入し、ファイル操作やネットワーク接続、レジストリ情報、イベントログ、各種プロセスといった動作情報を記録しつつ監視します。
（２）そして、世界中からクラウド上に集められた最新の脅威情報をもとに、不正アクセスやマルウェアの攻撃の可能性を検知します。
（３）何らかの異常を検知した場合には、アラートにて通知するとともに、マルウェアや不正アクセスの経路などを記録された各種ログなどをもとに詳細に解析します。
（４）感染や侵入が発見された場合には、プロセスを停止する機能もあります。
（５）これ以外にも、ファイアウォール機能や、パッチ適用の確認や、ソフト自動更新機能などの機能をもっている製品もあります。
（６）これらの機能を、管理コンソールで集中的に管理することで、組織内のエンドポイントを統合的に管理します。

2021年4月現在、EDRと呼ばれる製品は10社以上から提供されています。
どの製品が自社にとって最適なのかは、価格、既存のシステム環境やセキュリティ製品との相性、導入の容易性、運用の容易性、などが重要な判断基準になってきます。

EDRはエンドポイントセキュリティ対策のなかでは最も有効な手段の１つになりますが、やはり導入にも運用にもコストがかかります。企業のセキュリティ対策予算やリソースにも限りがあるなかで導入すべきかどうかは慎重な検討と判断が必要です。

エンドポイントセキュリティ強化のためにEDRを導入する場合に考慮すべき点があります。一例を挙げてご説明します。

ある企業が、コロナ禍の影響を受けて全社的にリモートワークへ移行することを決断しました。

組織として一括で管理していたネットワークに接続されていたIT機器が、社外にもち出され、利用者の責任でネットワーク接続することから、利用者一人ひとりのITリテラシーと、セキュリティリテラシーの向上が欠かせません。
そこで、社内でサイバー攻撃メール訓練を実施したり、セキュリティ講習を行ったり、怪しいメールは開かないようにと周知徹底していったものの、巧妙なサイバー攻撃メールが次々に登場している状況下で教育による対策には限界を感じていたため、対策としてEDR製品を導入しました。結果、間もなくマルウェアを検知した事案が発生しました。社内の他のPCに同様のマルウェアが侵入していないことをEDRの検索機能で確認し安全性が担保されました。従来の対策では検知できなかった可能性があり、ほかの端末の安全性までは確認できなかったことを踏まえるとEDRの導入は正解だったと言えます。

しかし一方で、いままでとは異なるセキュリティ運用上の課題が出てきました。
新たなセキュリティ製品を導入したことで、従来見えなかったインシデントが可視化されることになるため運用負荷の一時的な増加が避けられませんでした。
・導入当初は、アラートが多数発生し対処しきれない。
・問題を発見したとしても、専門家がいないためどう対処すべきか判断できない。
・何を禁止として何を許可するのか、アラートが上がるたびに個別に判断が必要。
・ビジネスを推進する事業部門からは、セキュリティルールが厳しすぎるとクレームがくる。
・シャドーITなどいままで気がついていなかったリスクが明らかとなり、セキュリティルールの見直しが必要となる。

このような数々の課題を抱えたため、最終的にはセキュリティの専門家に相談をすることで解決を図ることとなりました。EDRの導入１つをとっても、導入時、導入後に考慮すべきこと、実施するべきことがたくさんあります。

コロナ禍により、世界の働き方が大きく変わりつつあるなか、企業に対するサイバー攻撃が巧妙化や多角化し、被害件数もますます増えてきています。

これからのビジネスにおいて、エンドポイントセキュリティは欠かすことができないセキュリティ対策となります。

一方で、企業がセキュリティの高度化を図るためには、一時的な負荷の増大がつきものです。運用負荷を平準化するためにも、セキュリティの専門家を有効活用し、さらにはセキュリティ運用の標準化、自動化を合わせて推進していくことが必須となります。

ソフトウェアの品質保証を通じて標準化、仕組み化のプロセスを培ったSHIFTでは、現在セキュリティサービスを展開しております。
リモートワーク＆クラウドへの移行を踏まえたセキュリティ戦略の企画、CSIRT構築のご支援、パッチ適用、EDR運用などの労働集約的なセキュリティ運用の標準化・自動化によるセキュリティレベル向上のご支援、標準化されたセキュリティ診断項目を用いて短納期かつ低コストで安全なサービスインを実現するサイバーセキュリティ支援を行っています。

セキュリティ分野で課題をおもちであったり、新たな取り組みをご検討されている企業様は、ぜひSHIFTヘご相談ください。

ご相談はこちらから
＞＞お問い合わせページへ
＞＞料金についてページへ

＜関連資料＞