エンドポイントセキュリティとは?| エンドポイント保護

エンドポイントセキュリティとは、デスクトップパソコン、ノートパソコン、スマートフォンなどのエンドポイントデバイスを攻撃や情報漏えいから保護することを指します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • エンドポイントセキュリティが組織にとって重要である理由を説明する
  • エンドポイント保護ソリューションの主な機能を説明する
  • エンドポイントセキュリティとネットワークセキュリティの関係を理解する

記事のリンクをコピーする

エンドポイントセキュリティとは?

エンドポイントセキュリティまたはエンドポイント保護は、エンドポイント(ノートパソコンやスマートフォンなど、ネットワークに接続するデバイス)を攻撃から守るためのプロセスです。エンドポイントセキュリティには、エンドポイントデバイスが危険にさらされたり、マルウェアに感染する可能性のあるユーザーの危険な行動を阻止することも含まれます。

組織は、エンドポイント保護を実現するソフトウェアを使用して、セキュリティポリシーの実施、攻撃の検出、進行中の攻撃のブロック、データの損失の防止を行うことができます。エンドポイントは企業内のネットワークに接続されるため、エンドポイント保護はネットワークセキュリティの重要な要素でもあります。

脅威は様々な場所からやってくる可能性があるため、エンドポイント保護は様々な側面を持っています。一般的なエンドポイントの脅威ベクトル*には、次のようなものがあります:

  • Webブラウザからの脆弱性攻撃
  • 電子メールを介してユーザーに悪意のあるファイルやリンクを開かせるソーシャルエンジニアリング攻撃
  • USBデバイスを使用したセキュリティー侵害
  • 共有ファイルドライブからの脅威
  • セキュリティ保護されていないアプリケーションの使用

エンドポイント保護は、かつてはマルウェア・ウイルス対策ソフトウェアによる検出・防御が中心でしたが、現在では、こうした他の脅威のベクトルにも対応するように拡張しています。

*セキュリティ業界における「脅威ベクトル」とは、攻撃の元となる可能性のあるソースまたはチャネルを意味します。

エンドポイントセキュリティの仕組みとは?

エンドポイントセキュリティソフトウェアは、次の2つのモデルのうち、いずれかを使用しています:

クライアントサーバーモデルでは、ネットワークに接続するすべてのエンドポイントにクライアントソフトウェアがインストールされ、ソフトウェアは中央サーバーで実行されます。クライアント側のエンドポイントソフトウェアは、エンドポイントデバイスのアクティビティと潜在的な脅威を追跡し、中央サーバーに報告します。通常、クライアント側のソフトウェアは、エンドポイント上のマルウェアをアンインストールまたは隔離したり、エンドポイントからのネットワークへのアクセスをブロックするなどして、必要に応じてアクティブな脅威を隔離または排除することができます。

Software as a Service(SaaS)モデルでは、クラウド事業者がエンドポイントソフトウェアをホストおよび管理します。SaaS型エンドポイントソフトウェアは、通常クラウドコンピューティングサービスで見られるように、クライアントサーバーモデルよりも簡単にスケールアップできるという利点があります。また、SaaS ベースのエンドポイントソフトウェアは、エンドポイントが企業ネットワークに接続されていない場合でも、エンドポイントに更新を送信したり、エンドポイントからアラートを受け取ったりすることができます。

代表的なエンドポイントセキュリティの機能には、以下のようなものがあります:

  • マルウェア対策:エンドポイントセキュリティの最も重要な要素の1つであるマルウェア対策またはウイルス対策ソフトウェアは、デバイス上に悪意のあるソフトウェアが存在するかどうかを検出します。マルウェア対策ソフトは感染を検出すると、感染の存在を中央サーバーまたはITチームにアラートで知らせたり、感染したエンドポイント上の脅威の隔離を試みたり、悪意のあるファイルを削除またはアンインストールしようとしたり、エンドポイントをネットワークから分離して水平移動を防止したりするなど、さまざまなアクションが可能です。
  • 暗号化:暗号化とは、正しい復号キーがないと読むことができないようにデータをスクランブル化するプロセスのことです。エンドポイントデバイスの内容を暗号化することで、デバイスがセキュリティー侵害を受けたり、物理的な盗難にあった場合でも、エンドポイント上のデータを保護することができます。エンドポイントセキュリティでは、エンドポイント上のファイル、またはハードディスク全体を暗号化することができます。
  • アプリケーションコントロール:アプリケーションコントロールにより、IT管理者は従業員がエンドポイントに、どのアプリケーションがインストールできるかを指定することができます。

マルウェア対策・ウイルス対策ソフトとは?

マルウェア対策(またはウイルス対策)ソフトウェアは、エンドポイント保護において長きに渡り重要な位置を占めてきました。マルウェア対策ソフトは、主に次の4つの方法でマルウェアを検出します:

  • シグネチャ検出:シグネチャ検出では、ファイルをスキャンして、既知のマルウェアのデータベースと比較します。
  • ヒューリスティック検出:ヒューリスティック検出は、ソフトウェアに疑わしい特徴がないかを分析します。シグネチャ検出とは異なり、この方法では、これまで発見・分類されていないマルウェアを特定することができます。ただし、ヒューリスティック検出では、誤検出(通常のソフトウェアが誤ってマルウェアと認識されるケース)が発生する可能性もあります。
  • サンドボックス:デジタルセキュリティにおいて、「サンドボックス」とは、コンピュータやネットワークの他の部分から隔離された仮想環境を指します。マルウェア対策ソフトウェアが悪意のある可能性を秘めたファイルをサンドボックス内で安全に開いて実行し、その動作を確認することができます。重要なファイルの削除や承認されていないサーバーへのアクセスなど、悪意のある動作を示したファイルは、マルウェアとして識別されます。
  • メモリ解析:ファイルレス型マルウェアは、端末にプリインストールされたソフトウェア上で動作しますが、ファイルの保存は行いません。ファイルレス型マルウェアは、エンドポイントのメモリを解析することで検出することができます。

Endpoint Detection and Response(EDR)とは?

Endpoint Detection and Response(EDR)は、エンドポイントやネットワーク上のイベントを監視するエンドポイントセキュリティ製品の重要なカテゴリーです。EDR製品の機能はさまざまですが、いずれもセキュリティ管理者が脅威を特定できるように、エンドポイント上のアクティビティに関するデータを収集することができます。また、ほとんどの製品は、検出した脅威をブロックすることができます。

事業者や大きな組織にとってエンドポイント保護が重要な理由とは?

個人消費者にとって、エンドポイント保護は重要ですが、通常、専用のエンドポイントセキュリティソフトウェアは必要ありません。一般消費者向けの多くのOSには、基本的なセキュリティ保護機能(マルウェア対策など)がすでにインストールされており、ユーザーは特定のベストプラクティスに従って、自身のパソコン、スマートフォン、およびインターネット活動を保護することができます。

エンドポイントセキュリティは、企業、特に何百、何千もの従業員のエンドポイントデバイスを管理しなければならない企業にとって、より大きな問題です。安全でないエンドポイントは、それ以外は安全な企業ネットワークへの侵入を試みる攻撃者にとって、足がかりとなり得ます。ネットワークに接続するエンドポイントの台数に比例して、そのネットワークにもたらされる潜在的な脆弱性の数も増えることになります。これは、道路を走る車の数が増えれば、運転手がミスをして事故を引き起こす可能性が高まるのと同じです。

さらに、攻撃が成功した場合、ビジネスプロセスの中断、機密データの損失、企業イメージの低下など、ビジネスに与える潜在的な影響は甚大なものとなる可能性があります。

また、エンドポイントはセキュリティの確保が困難であることも標的として魅力あるものにしている要素の一つです。IT部門は、従業員が使用するコンピュータや、個人所有のノートパソコン、スマートフォンなどのデバイスに、定期的に直接アクセスすることはできません。ネットワークに接続するデバイスにエンドポイント保護ソフトウェアのインストールを義務付けることで、IT部門はこれらのデバイスのセキュリティをリモートで管理・監視できるようになります。

エンドポイントデバイスの保護は、過去10年間のBYOD(Bring Your Own Device)環境の増加により、はるかに困難になっています。各ネットワークに接続するデバイスの数は増加し、デバイスの種類も増えました。ネットワーク上のエンドポイントには、個人のスマートフォンやタブレットだけでなく、さまざまなソフトウェアやハードウェアが動作するInternet of Things(IoT)デバイスなどの存在もあります(詳しくは、IoTセキュリティをご覧ください)。

エンドポイントセキュリティとネットワークセキュリティの関係は?

安全でないエンドポイントは、攻撃者が脆弱性を悪用する際のネットワーク上の弱点となるため、エンドポイントセキュリティはネットワークの安全性を維持するための一部です。しかし、ネットワークセキュリティには、ほとんどのエンドポイントセキュリティ製品ではカバーされていないネットワークインフラストラクチャの保護とセキュリティ、ネットワーク、クラウド、インターネットアクセスの管理などの側面も含まれます。

現在、エンドポイントセキュリティとネットワークセキュリティの境界は曖昧になりつつあります。多くの組織ではネットワークセキュリティを、エンドポイントデバイスは脅威となる可能性があり内部リソース(SaaSアプリケーションも含む)に接続する前に確認する必要があることを前提としたZero Trustモデルに移行しています。このようなモデルでは、ネットワークやクラウドへのアクセスを許可するためのエンドポイントセキュリティ体制が重要になります。

Zero Trustについて詳しくは、「Zero Trustネットワークとは?」または、ネットワーキングとセキュリティサービスを1つのZero Trustプラットフォームにまとめた「Cloudflare Oneについて学ぶ」をご覧ください。