エンドポイントセキュリティは、企業ネットワークにアクセスするすべてのデバイスをリアルタイムで保護するプロセスです。 1つのデバイスを保護されていない状態のままにしておくと、チェーン内の脆弱なリンクと見なされ、ネットワーク全体に影響を与える可能性があるため、エンドポイントセキュリティは サイバーセキュリティプログラム全体にとって非常に重要です。
Gartner社によると、エンドポイント保護プラットフォーム(EPP)は、デスクトップ、ノートパソコン、サーバー、モバイルデバイスなどの管理対象エンドポイントを保護するためにエージェントまたはセンサーを展開する機能を提供します。
エンドポイントは、ネットワークに接続するデバイスやサーバーを指します。上述のデスクトップパソコン、ノートパソコン、サーバー、モバイル機器などに加え、電話、キッチン用品やサーモスタットなどのIoT機器、カメラなど、ネットワークに接続し、データの共有や転送を行うことができるあらゆるものがエンドポイントに含まれます。
こうしたデバイス、特に私生活で使用するデバイスが安全でない可能性があると思うことはあまりありませんが、どこかの誰かが、アクセスしているネットワークの残りの部分と連携してそのデバイスを保護する仕事をしているのです。問題が複雑になるのは、仕事でのデバイス使用が私生活に影響を与える可能性があるという点です。
例えば、個人のスマートフォンにSlackやGoogle Workspaceなどの業務用アプリケーションを入れている場合、企業の管理者は、企業ネットワークに接続する特定の業務アプリケーションを保護するために、OktaやDuoなどの特定のIDおよびアクセス管理(IAM) アプリケーションのインストールを要求することがあります。
EPPは、組織のネットワーク上のすべてのエンドポイントに対するマルウェアやその他の種類の攻撃に対抗する監視エージェントの展開を容易にするプラットフォームです。EPPは通常、エンドポイントの保護という本来の目的を果たすには非常に有用ですが、ネットワーク全体の保護という観点からよりマクロな立場を取れるようにするには、さらに広範囲にわたるソリューションが必要になります。
EDRソリューションは、リアルタイムのリスクの特定、レポート、防御のテスト、そして最も重要な任務であるエンドポイントの侵害を検出することで、セキュリティのギャップを埋めるための可視性と洞察力を提供します。EDRソリューションは、ネットワークとそのユーザー全体の弱点をプロアクティブに特定し、優先順位を付けられるものである必要があります。
EPPとEDRの各プラットフォーム・ソリューションの基本的な違いは、侵入や攻撃に対する防御と検知にあります。EPPはエージェントを活用し、次世代ウイルス対策(NGAV)などのテクノロジーによりエンドポイントでの悪意のあるファイルの実行を防止します。
最新のEDRソリューションには通常、単純な検知対応(D&R)を超えるExtended Detection and Response (XDR)機能が組み込まれ、エンドポイントのテレメトリと境界外からの広範なデータ収集の両方により、カバレッジの一元管理を提供します。これにより、攻撃チェーンの早い段階でインシデントを検出し、損害が発生する前に、あるいは損害がほとんど起こっていない時点で攻撃をシャットダウンする組織の能力が大幅に向上します。
エンドポイントセキュリティは、EPPプラットフォームが疑わしいアクティビティを継続的に監視し、ネットワーク管理者に侵害の可能性を警告することで機能します。エンドポイントにインストールされたセンサーやエージェントはエンドポイントから集中型EPPにデータを安全にストリーミングできるため、ネットワークトラフィック分析を実行し、必要に応じて緩和措置を講じることができます。エンドポイントデータから明らかになるさまざまなタイプの攻撃を確認し、適切な対応を判断してみましょう。
将来の攻撃からネットワークシステムを保護するには、調査期間中に侵害後に関する問いを社内で検討する必要があります。
監視、D&Rアクションと調査はすべて、EPP内の中央、またはダッシュボードから行われます。上記のタイプの侵害が発生した場合、セキュリティ担当者は、マルウェアのブロック、脆弱性の検知、資産やエンドポイントをリモートで無効にしてフォールアウトを封じ込めるなどのタスクを実行できます。
企業とそのセキュリティ組織により、さまざまなニーズがありますが、大きな共通点は、業務の遂行に利用しているテクノロジーにあります。そこで、エンドポイントセキュリティソリューションに欠かせない、コンポーネントをいくつか見てみましょう。
企業のデータやアプリケーションにアクセスするデバイスの数と種類は、過去10年間で急激に増加しました。これは主にコロナ禍によるものですが、企業が本拠地とする地域外から人材を雇用できるようになったテクノロジーの普及も要因です。こうした環境では、エンドポイントの可視性が非常に重要となります。
デジタルフォレンジックおよびインシデント対応(DFIR)ツールは、セキュリティチームがエンドポイント全体からデジタルフォレンジック証拠を迅速に収集して確認し、不審なアクティビティの有無をプロアクティブに監視する上で非常に重要な役割を果たします。
前述の従業員の分散化により、エンドポイントエージェントの導入がもはや必須であると一般的に受け入れられています。セキュリティプログラムが脅威に対して有効であるためには、いつでもあらゆるエンドポイントに到達できる必要があります。エンドポイントエージェントは、主要なシステムイベントを記録するEDR機能、リアルタイムの調査データ取得機能、行動に基づいて脅威を排除できるNGAVアプリケーション、能動的な脅威防御機能、オンデマンドの緩和・修正機能を備えている必要があります。
また、人材の能力強化も重要です。こうした意味で、エンドユーザー教育はセキュリティプログラムの投資戦略の重要な一部とすべきです。エンドユーザーのセキュリティ教育にかかるコストは、テクノロジー、人員、情報漏えいに関連するコストに比べれば微々たるものです。セキュリティ意識向上トレーニングは、業界で一般的な脅威の種類に基づいて、組織に合わせて特別に調整することができます。
NGAVは、従来のウイルス対策を超えて、組織のエンドポイントに対する視野を広げます。NGAVソリューションは、マルウェアやファイルレス攻撃を検知して、攻撃者が意図的な戦術、技法、手順(TTP)として、または実際には適切な認証情報を持つ人が無意識のうちにとる悪意のある行動を防ぎます。
NGAVは、プロセス内に隠れている悪意のあるコードが認識される前に実行を阻止します。NGAVは、人工知能(AI)や機械学習(ML)など機能を活用することで、インストールされているエンドポイントの過去の動作から学習でき、エンドポイントエコシステム全体にわたる多様な攻撃をより効率的にブロックできます。
エンドポイントセキュリティは、組織全体のリスクを特定して軽減するのに役立つため、重要です。脅威のリアルタイム検知、リモートおよび仮想インフラストラクチャの監視、エージェントの迅速な展開は、エンドポイントセキュリティがもたらす利点のほんの一部です。
エンドポイントのセキュリティ戦略も変化しており、上述のとおり、エンドポイントにとどまらず、より大規模なXDRプログラムの重要な一部となっています。これは、セキュリティ組織がより積極的になり、差し迫った攻撃の兆候を検出し、損害が発生する前に攻撃を停止したい場合に重要となります。
あらゆる従業員が、仕事で使用する個人用デバイス、企業ネットワークへの出入りなど、毎日複数のエンドポイントとやり取りしています。堅牢な監視とD&Rプログラムは、資産のエコシステムを、これまで以上に巧妙な侵害、水平展開やデータ盗難から保護する上で役立ちます。