インターネットなしには業務が成り立たない世の中になった。それと比例してサイバーセキュリティの重要性も高まるわけだが、過去に講じたセキュリティ対策が今も有効だと思い込むのには警鐘を鳴らしたいところ。サイバー攻撃は巧妙化し、外からの侵入を防ぐ水際対策だけでは十分なセキュリティ対策が取れているとはいえないのが現状である。
在宅勤務中のPCにサイバー攻撃が加えられ四苦八苦している情シスがここにもひとりーーー

多田野部長

まったく便利な世の中になったもんだ。自宅にいながら会社と同じ環境で仕事ができるんだからなあ。通勤の苦労も減って体調も万全、仕事も捗るぞ、フン、フン。

Dr. Protocol

ククククッ、多田野部長のやつ、自宅だからってリラックスしてるな。鼻歌を歌いながら、パジャマ姿でお仕事か。こんなときこそ、チャ~ンス、マルチLANハンドで多田野部長のPCにマルウェアを注入~。
マルチLANハンド!!

──── マルチLANハンドからウイルスが多田野部長のPCに届く。────

~Dr.ProtocolEquipment①:マルチLANハンド~

Dr.プロトコルの武器のひとつ。伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

多田野部長

あれっ、なんか変だぞ??急にPCがメチャクチャ遅くなった。うわっ、メッセージも出た、なに、ウイルスに感染だと!?
とにかくにのまえくんに電話だ!!

—---トゥルルルトゥルルル

にのまえ はじめ

ん、電話?誰だこんな朝っぱらから…部長からだ。ああ、もう、久々の有給休暇だってのに。どうしよう、居留守でいいか、いやトラブルだったら悪いしなあ…。

──── いやいや電話に出るにのまえ────

多田野部長

お、にのまえくんか、大変だ、わしのPCにウイルスが…。

にのまえ はじめ

ホントですか、でもアンチウイルスソフトが入っているはずじゃ?

多田野部長

そんなこと知らんよ、とにかく早く来てくれ!!

にのまえ はじめ

ええっ!?行くんですか?でも今日は休暇ですし、とりあえずVPNは繋がないでおいてもらって…。

多田野部長

そんなこと言ってる場合か、早く来い、いいな。

にのまえ はじめ

あっ、電話切られた。どうしよう、部長の家までは、たしか2時間以上かかるはず、それに行ったとしても俺に的確な対処が出来るだろうか…。

Joshisu Man

困っているようだな、はじめ。

にのまえ はじめ

Joshisumanさん!どうしてここへ!?

Joshisu Man

おいおい、はじめが呼んだんじゃないか、今日は休みだから家に遊びに来ないかって。

にのまえ はじめ

ああ、そういえば昨日の夜、帰りに居酒屋で酔っぱらって、隣にいるおじさんにあることないことしゃべった気がするけど…あれって、Joshisumanさんだったんだ。

Joshisu Man

なんだ、覚えていないのか、まあいい、で、何に困ってるんだ。

にのまえ はじめ

それが…部長が自宅で仕事をしていて、ウイルスに感染してしまって…。

Joshisu Man

そういうことか…。む、お前の会社はオンプレ型のアンチウイルスを使っているのか。しかしこれは最新版じゃないじゃないか。これじゃあ意味がないだろう。過去にアンチウイルスを導入していることに安心して、更新を怠っているとは。。いいか、はじめ、エンドポイントを守るためには、アンチウイルスは常に最新版でなくては防御率が下がるんだぞ。

にのまえ はじめ

ええ?アンチウイルスを入れてるのに最新版じゃないと意味がない!?そんなの管理するの面倒じゃないですか!自動でやってくれるサービスを導入すればよかった…。

Joshisu Man

そうだな、クラウド型であれば自動で最新版になるだろう。しかし考慮すべきはそれだけじゃない、最新のシグネチャファイルとパターンマッチングが出来ていたとしても防げるのは90%程度だろう。それにサンドボックスやふるまい検知といった次世代のマルウェア対策機能を付けたとして…防御率は95%か!?

にのまえ はじめ

いや100%になってないじゃないですか!!?

Joshisu Man

マルウェアをめぐる攻防戦は昔からいたちごっこなんだ。防御手法が見出されていない新しいマルウェアが出てくれば、対処出来ない可能性がある。それが100%に達しない所以だ。その為にも1つのサービスで安心せずに、多層階防御が必要なんだが働き方の変化や昨今のサイバー攻撃の巧妙化が影響して、今はマルウェアに侵される事を前提とした対策法も広がりつつある。これも大事なエンドポイントセキュリティだ。

にのまえ はじめ

エンドポイント?エンドポイントセキュリティっていったい??

エンドポイントセキュリティとは

エンドポイントの機器や機器内のデータをマルウェア等のサイバー攻撃から守るためのセキュリティ対策のことをエンドポイントセキュリティという。

エンドポイントとは

エンドポイントとは広い意味では末端のことだが、企業でいえばPCやサーバーなど、ネットワークの末端に接続されている機器のことである。テレワークが普及している現在では、スマホやタブレットなどのいわゆるスマートデバイスと呼ばれる端末もエンドポイントセキュリティの対象となる。

にのまえ はじめ

会社のネットワークに接続されている末端の機器をエンドポイントというんですね。それらを守るセキュリティ対策がエンドポイントセキュリティか。でも、具体的にはどんなことをしたらいいんでしょう?

──── うむ、エンドポイントセキュリティですべきことを見てみよう。────

エンドポイントセキュリティですべきこと

エンドポイントセキュリティでやるべきは、ウイルスの侵入を防ぐことと侵入したウイルス被害を最小で食い止めることである。
一見矛盾しているように見えるが、100%防御が叶わない限り、この両軸で対策しなければならない。ウイルスの侵入を防ぐには、EPPやNGEPP、NGAVといったツールが必要になる。
また万が一マルウェア等がそれらをすり抜けたとしてもEDRによる監視で、検知することが可能だ。怪しい挙動を検知したときはアラートメール通知をしたり、リスクが高いものと判断されれば、対象を自動でネットワークから隔離したりすることもできる。問題のあるエンドポイントをリモートから調査したり復旧したりする作業も可能なのだ。

にのまえ はじめ

Joshisumanさん、よくわかりました。リモートで対応できるのも現代にあってますね。
エンドポイントセキュリティって、重要なセキュリティ対策なんですね。

Joshisu Man

そのとおり、EDRもこれからの時代、必須のセキュリティ対策ツールとなるだろう。

エンドポイントセキュリティの重要性について

エンドポイントセキュリティの重要性について、注目されている背景やなぜ重要なのかという観点から解説していこう。

エンドポイントセキュリティが注目されている背景

サイバー攻撃は近年、ますます高度化している。
パターンマッチングで既存のマルウェアを発見することはできても、未知のマルウェアを確実に検知することは難儀である。また、テレワークが常態化し、出社しなくとも効率よく作業できるようにクラウドサービスを利用する機会も増えていることだろう。会社が管理していない自宅ネットワークから「VPNを介さず直接クラウドへアクセスしている」なんてこともあるだろうが、せっかく社内ネットワークとインターネットの境界にセキュリティを講じても、そこを通らないのでは無防備にインターネットに出ていることになる。このように、従来のように社内にある端末を社外の攻撃から守るという仕組みだけではサイバー攻撃の脅威に対応できなくなっていることで、エンドポイントセキュリティの必要性が日毎に増しているのである。

なぜエンドポイントが重要なのか

知らない間にネットワーク内部にマルウェア侵入を許してしまうと、エンドポイントに寄生したウイルスがインシデントとして可視化されるまで水面下で攻撃を広げてていく。ゲートウェイセキュリティ製品は、マルウェアの通信内容やマルウェアそのものをトラフィック上のデータとして判別するため、マルウェアの挙動までを見て検知する事は出来ない。対して、エンドポイントセキュリティ製品は、マルウェアが攻撃を開始する瞬間の挙動を見て検知する事が出来る。更にマルウェアはエンドポイント上で侵入から感染、不正な動作など行動の全てをそこで行うので、そのプロセスのいずれかで検知が出来ればいい事になる。
つまりエンドポイントでセキュリティを講じる事で、そもそもの検出率を上げる事が出来るのだ。
そして、意図的にゲートウェイセキュリティ製品を介さないアクセス(自宅ネットワークからクラウドサービスへ等)や、直接社内ネットワークに繋がっているパソコンへウイルスを仕込んだUSBスティックを差し込まれる等の脅威にも対処する事が出来る。このように、エンドポイントを脅威から守ることは、重要なセキュリティ対策となるのだ。

にのまえ はじめ

確かに、従業員が持つ端末数もかなり増えたし、テレワークとかでいろいろな場所でその端末を使う機会が増えましたもんね。

Joshisu Man

そうだな。今の時代、よりエンドポイントのセキュリティ対策が重要になってきているぞ。

にのまえ はじめ

なるほど、それにしても、ゲートウェイセキュリティを導入しているのにエンドポイントセキュリティは本当に要るんでしょうか。逆も然りですが...。

「ゲートウェイセキュリティ」だけではダメなのか?

境界型ネットワークで代表されるセキュリティ対策といえば、ファイアウォールをはじめとするゲートウェイセキュリティだろう。これさえあれば大丈夫だろうと過信している情シス担当者も少なからずいるのではないだろうか。

ゲートウェイセキュリティとは

ゲートウェイ(Gateway)とは、社内ネットワークと社外ネットワークを繋ぐ出入口のようなものだ。そこに対するセキュリティ対策をゲートウェイセキュリティと呼ぶ。
ゲートウェイセキュリティは外部から社内への不正アクセスを防いだり、社内から外部の怪しいサイトへのアクセスを防ぐ役割を担っている。代表的なものにはファイアウォールやIDSIPSURLフィルタリングなどがある。

エンドポイントセキュリティとの違い

ゲートウェイセキュリティはネットワークの出入口部分を監視する門番のような役割だ。悪意のあるアクセスに出入口を通過させてしまった場合、内部のことまでは関与できない。一方、エンドポイントセキュリティは内部の各エンドポイントを護るボディガードのような存在だ。どちらの方が必要なのか?を考える必要はない。どちらも必須のセキュリティ対策である。

補足:エンドポイントセキュリティとUTMとの違い

ファイアウォール単一の機能ではなく、ファイアウォールやアンチウイルス、IDSIPS等々のセキュリティ機能を一つの機器に統合した統合脅威管理機器がUTMである。脅威の侵入を防ぐ機器であり、ゲートウェイセキュリティに分類される。

エンドポイントセキュリティの具体的な方法とは

エンドポイントセキュリティで使われるサービスを紹介しよう。
目的に応じて様々なサービスがあるため、自社のセキュリティを強化したいポイントに応じて使い分けよう。

EPP

EPP(Endpoint Protection Platform)とは、主にアンチウイルスのことを指す。パターンマッチングによりウイルスを検知、駆除する。既知のウイルスにしか対応できず、未知のマルウェアに対応できないのが弱点である。

※パターンマッチングとはあらかじめウイルスの特徴を登録したデータベースをウイルス対策ソフト内に持ち、この情報と検査対象のファイルを逐一比較する方法のことです。

NGEPP、NGAV

既存のウイルスしか検出できない従来型のアンチウイルスソフトを補完する機能をもつのがNGEPP(Next Generation Endpoint Protection Platform)、NGAV(Next Generation Anti-Virus)である。
EPPには対処できない未知のマルウェアに対して、サンドボックス(社内ネットワークとは切り離した領域)に誘導し、プログラムの動作から不審な動きを検知(振る舞い検知)することで未知のマルウェアを検出することができる。

DLP

DLP(Data Loss Prevention)は、端末等のデータを常時監視して、情報漏洩を防ぐツールであり、不審な動作に対しアラートを出し情報漏洩を阻止する。データそのものを監視することで、外部からの搾取だけでなく、内部による搾取にも対応することが可能となっている。

EDR

マルウェアなど脅威の侵入後に不審な動作を検知、対応する。具体的には端末のログを収集し解析、サイバー攻撃等の脅威を検出し管理者へ通知、対象端末の切り離しなどを行う。
EPPやNGEPPNGAVなどで対処できなかった攻撃に対して、被害を最小化する役割を担う。

にのまえ はじめ

アンチウイルスだけでなく、さまざまなセキュリティ対策があるんですね、勉強になりました。ところでJoshisumanさんおすすめのエンドポイントセキュリティはあるんですか。

Joshisu Man

もちろんだ、はじめ。お前の様に何を選べばいいか分からない男に紹介したい私のおすすめはコレだ!!

【解決】~ICT SOLUTION!~

おすすめのエンドポイントセキュリティとは

「USEN GATE 02― セキュアエンドポイントサービス(Va)」は多様化、巧妙化するサイバー攻撃からエンドポイントを守るトータルエンドポイントセキュリティサービスだ。

ウイルスの侵入検知と侵入後の対応までがセットになっており、EPP・EDR・MSS(マネージドサービス)が機能として備わっている。
※MSS…リスクレベルの高いインシデントが検知された際、対象プログラムの正常性及び通信先の確認を行い、調査結果をメールで報告する

主な特徴は以下の通りだ。

● EPP:パターンマッチングのみならずレピュテーション、サンドボックス、ふるまい検知により未知のウイルスにも対応
●EDR:脅威の侵入が避けられないことを前提として、検知後の影響範囲の特定から復旧までを迅速に行い、業務への影響を最小化
●MSS:連携されたログを解析し、解説メールを通知。電話サポートも実施
●クラウドタイプのため専用サーバ不要、社外にいるPCのアプリケーションの脆弱性も把握できる
●EPPとEDRが1つのアプリで動作するため運用工数も最小限
●導入は最低5ライセンスから。安価に手軽にPC内の見える化が実現できる

EPP機能のみが必要だという企業には、「WithSecureサービス」といったサービスもあるぞ。
WithSecureサービスはセキュアエンドポイントサービス(Va)のEPPだけを切り出したクラウド型のアンチウイルスサービスだ。高度な防御力でありながらウェブ上の管理ポータルから簡単操作が可能だ。

Joshisu Man

なるほど。これなら意識しなくても常に最新版を使っていられるし、セキュアエンドポイントサービス(Va)ならアンチウイルスソフトだけでは対応できなかった万か一マルウェアに侵入されてしまった場合の対策もこれでバッチリですね!

Joshisu Man

セキュアエンドポイントサービス(Va)、WithSecureサービスは無料トライアルもあるため、検討する際はトライアルしてみるのもいいかもな!
強い情シスが企業を伸ばす!また会おう!さらばだ!

まとめ

働き方の多様化やサイバー攻撃の巧妙化に対応するためには、従来のネットワーク構成や従来のセキュリティ対策の常識から一歩踏み出さなければならない。「USEN GATE 02― セキュアエンドポイントサービス(Va)」を導入すれば、EPPEDRMSSの組み合わせで、巧妙化したマルウェアの検出作業からゲートウェイ防御を突破された事後対応までトータルにサポートし、より安全なセキュリティ環境を構築してくれるだろう。

■「USEN GATE 02―セキュアエンドポイントサービス(Va) ―」

・EPPによるパターンマッチング、レピュテーション、サンドボックス、ふるまい検知による高精度なスキャン
(ウィルス検知率を評価する独立機関AV-Test Instituteの「Best Protection Award」を7度受賞)
・EDRによるプロセス監視、アラートメール通知、対象の自動隔離
・MSSでログを解析し、解説メールを通知、電話によるサポートも行ってくれる
・クラウドタイプのため専用サーバ不要、EPPとEDRは1つのアプリで動作


    TO BE CONTINUED…

    この記事に関連するお役立ち資料はこちら

    新しいエンドポイントセキュリティ(EDR)

    攻撃の巧妙化により重要性を増すエンドポイント対策。ウイルス対策ソフト(EPP)にてウイルスの侵入を防ぐだけでは不十分です。大切なのは万が一エンドポイントが感染してしまった場合を想定した対策です。
    侵入されることを前提として、端末内に侵入したマルウェアを検知し、エンドポイント端末の隔離やシステム停止などを行い、社内システムへの影響を防ぐことを目的としたEDRについて解説します。

    ダウンロードする

    さらに理解を深めたい方にオススメの記事はこちら