エンドポイントセキュリティとは何か、どのような種類があるのか、またアンチウイルスソフトとは何が違うのか、エンドポイントセキュリティの製品選定に役立つよう、分かりやすく解説します。
目次
エンドポイントセキュリティとは何か?
エンドポイントセキュリティとは、ネットワークに接続するPC・スマホ・タブレット等の端末(エンドポイント)を保護する、セキュリティ対策の総称を言います。
コロナ以前のようにオフィスワークが主流の時代では、情報セキュリティの対象はクローズした社内ネットワークで済みましたが、リモートワークの普及により自宅や外出先から社内ネットワークに接続する機会が増え、端末(エンドポイント)のセキュリティリスクが増大しました。まだランサムウェア等のサイバー攻撃は高度化し、端末(エンドポイント)が侵入経路として狙われやすくなっています。
このような働き方や技術環境の変化により、端末(エンドポイント)を中心にセキュリティ対策を行う考え方を指し、各端末に導入されるアンチウイルスソフトはエンドポイントセキュリティ対策の1つと言うことができます。詳しくは次章の「種類と用語」をお読みください。
種類と用語
エンドポイントセキュリティにはどのような種類があるのか? 用語と合わせて解説していきます。
1.EPP(Endpoint Protection Platform)
エンドポイントを保護するための統合型プラットフォームを指し、アンチウイルス、ファイアウォール、デバイス制御などの基本的な機能を提供します。従来のアンチウイルスソフトは、EPPの1つの機能ということができます。
2.NGAV(Next Ganeration Antivirus)
NGAVは従来のアンチウイルスに代わり、振る舞い検知や、AI・機械学習、行動分析を活用して、未知の脅威を防ぐ次世代のアンチウイルス技術になります。
従来のアンチウイルスはパターンマッチングによる検出であり、既知のパターンをウイルス定義ファイルに登録し、コンピューター上のファイルに同じパターン(シグネチャー)がないか、スキャンして調べます。このような仕組みでは既知の脅威にしか対応することができませんが、NGAVでは上記のとおり予測的な検知をすることで、未知の脅威に対応することができます。
ただし、予測的な検知であるため、実際に問題のないアプリケーションやファイルが誤検知されることもあります。
3.EDR(Endpoint Detection and Response)
エンドポイントにある各デバイスにエージェントを組み込み、エージェントから吸い上げた情報を常時監視することで、脅威を検出・分析・対応する技術になります。
アンチウイルスソフトのようなEPPが侵入を許さない事前防御であるのに対し、EDRは侵入後に脅威を除去する事後対応の技術です。例えば、不正プログラムがファイルを暗号化し、攻撃者が管理者権限を奪うというような「攻撃者の動き」に焦点を当て、これを止める仕組みになります。
4.DLP(Data Loss Prevention)
DLPは機密情報(重要情報)の流出を防ぐため、それらの利用状況や送信先を監視・制御する技術です。
前述のEDRが不審な挙動や攻撃を検知するのに対し、DLPは機密データの不適切な移動を検知します。例えば、機密データがメールで外部に送信される、ないしはクラウドにアップロードされるという「データの動き」を監視し、不正な流出を防ぎます。
またウイルスなどの外部攻撃だけでなく、従業員がUSBに機密ファイルをコピーする等の人的な不正にも対応し、最後の砦として重要な役割を担います。
以上4つの違いは、次章の「アンチウイルスソフトとの違い」をお読みいただくと、より明確にご理解いただけます。
また次の2つの用語は、エンドポイントセキュリティに関連する用語なので、参考として解説します。
NDR(Network Detection and Response)
ネットワーク上のトラフィックを分析し、異常を検知・対応する技術です。エンドポイントではなくネットワーク層に特化しているのが特徴となります。エンドポイントセキュリティではありませんが、次のXDRと関係があるので、記載しました。
XDR(Extended Detection and Response)
EDR、NDR、メール、クラウドなど複数のセキュリティデータを統合的に監視・対応するプラットフォームです。広い視点で脅威に対応します。
アンチウイルスソフトとの違い
ここでは従来のアンチウイルスソフトとの違いについて、整理して解説します。
| 1. EPP (アンチウィルス) | 2. NGAV | 3. EDR | 4. DLP | |
|---|---|---|---|---|
| 脅威への対応姿勢 | 事前予防 | 事前予防 | 事後対策 | 事後対策 |
| 脅威の検出手法 | 既知のウイルスをデータ登録して検知 | 未知のウイルスをAI予測して検知 | ー | ー |
| 脅威の判別対象 | ー | ー | 攻撃者の動きを判別 | データの移動を判別 |
1.EPP(Endpoint Protection Platform)との違い
EPPとはエンドポイントを保護するための統合型プラットフォームを指し、従来のアンチウイルスソフトがEPPの1つになります。EPPの中の1つに従来のアンチウイルスソフトがある、とご理解ください。
2.NGAV(Next Generation Antivirus)との違い
従来のアンチウイルスソフトがシグネチャーベースのため、既知の脅威にしか対応できないのに対し、NGAVは、振る舞い検知や、AI・機械学習、行動分析を活用して予測的な検知をすることで、未知の脅威に対応できる点が異なります。脅威をどのように検知するか、仕組みが異なることになります。
3.EDR(Endpoint Detection and Response)との違い
従来のアンチウイルスソフトが侵入を防ぐ事前予防であるのに対し、EDRは侵入後の事後対応で脅威を除去する点が異なります。また判別対象は攻撃者の動きであり、この点が次のDLPと異なります。
4.DLP(Data Loss Prevention)との違い
従来のアンチウイルスソフトが侵入を防ぐ事前予防であるのに対し、DLPは侵入後の事後対応でデータの流出を止める点が異なります。また判別対象はデータの移動であり、この点がEDRと異なります。
近年増えている標的型攻撃はエンドユーザーを狙い、マルウェアを介して侵入、乗っ取るため、まずはEPPやEDRなどが入口対策として一般的な認識かもしれません。
しかし、それで突破されてしまった場合は、重要ファイルが漏洩するリスクは残ったままとなります。先を見越した対策としては、アクセス制御(持ち出し禁止)と組み合わせることがお勧めです。仮に乗っ取られても、データち出し禁止対策により、防御の仕組みが1枚増えることで、リスクは低下します。
●コピー、印刷、メール添付、アップロード一切禁止!
●サーバー不要で、すぐに導入できる!
●USBへの保存、コピーも禁止!
エンドポイントセキュリティ対策の具体例
エンドポイントセキュリティの代表的な対策を、12種類掲げますので参考にしてください。
1.アンチウイルスソフト
アンチウイルスソフトは、マルウェア(ウイルス、トロイの木馬、ランサムウェアなど)の検出と駆除を目的とした基本的なセキュリティ対策です。シグネチャベースの検出技術で既知の脅威に対応します。最新ウイルス定義データベースを定期的に更新することが重要で、これにより新たな脅威に迅速に対応できます。
2.NGAV(Next Generation Antivirus:次世代アンチウイルス)
従来のアンチウイルスに代わり、AIや行動分析による予測的な検知をすることで、未知の脅威に対応できる次世代の技術といえます。
3.ファイアウォール
ファイアウォールは、ネットワークトラフィックを制御するセキュリティソリューションで、許可された通信だけを通過させる役割を果たします。エンドポイントにインストールされるパーソナルファイアウォールは、ローカルネットワークやインターネットからの不正アクセスをブロックし、ポートスキャンやDDoS攻撃などを防ぎます。
4.セキュアブラウジング
セキュアブラウジングソリューションは、エンドポイントでのWeb利用を安全に保つために対策です。悪意あるサイトへのアクセスをブロックし、フィッシング攻撃やマルウェアのダウンロードを防ぎます。ブラウザ拡張機能やクラウドベースのWebフィルタリングサービスが一般的です。
5.暗号化ソリューション
データの暗号化は、盗難や紛失時に情報漏洩を防ぐための重要な対策です。エンドポイントで使用されるファイルやディスク全体を暗号化することで、アクセス権を持たない者がデータを読み取ることを防ぎます。
※ただし、反面、ディスク全体の暗号化を行うと、アプリケーションが起動しなくなるなどの問題が発生する、また、ファイル単位の暗号化では復号すると、平文に戻ってしまい漏洩リスクがある、などのデメリットがあります。
このようなデメリットの解消には、弊社(TSS LINK)の「トランセーファー」。直感的な操作で必要なファイルだけを、簡単に暗号化できます。しかも暗号化したファイルは専用ビューアでしか開けず、さらに文字のコピーや印刷が禁止されているため、情報漏洩リスクを大幅に低減する製品です。
6.デバイス制御
デバイス制御は、エンドポイントでの外部デバイス(USB、外付けハードディスクなど)の使用を管理する仕組みです。これにより、機密データの不正コピーやマルウェアの感染を防ぐことができます。
7.EDR(Endpoint Detection and Response)
EDRは、エンドポイント上での疑わしい活動をリアルタイムで監視し、脅威を検出・分析して対応する技術です。詳細なログデータを収集し、脅威の侵入経路や影響を特定するための可視性を提供します。EDRは従来型アンチウイルスの欠点を補い、高度なサイバー攻撃に対応可能なツールとして注目されています。
8.ゼロトラストモデル
ゼロトラストモデルは、「誰も信用しない」という原則に基づき、常にアクセス権限を確認しながらシステムを保護します。エンドポイントでは、ユーザーやデバイスの認証、通信内容の検証を継続的に行い、不正な活動を排除します。
9.多要素認証(MFA)
MFAは、ログイン時に複数の認証要素(パスワード+生体認証、ワンタイムパスコードなど)を組み合わせることで、認証の強度を高めます、MFAはゼロトラストモデルの一部になりますが、重要な対策なので別記しました。
10.DLP(Data Loss Prevention)
DLPは、機密データの漏洩を防ぐために、データの送信先や利用状況を監視し、不適切なデータの移動をブロックする技術です。ユーザーの行動を監視し、ポリシー違反をリアルタイムで検出します。
※一般的にDLPはデータそのものを監視し不正な操作を判断する仕組みですが、弊社「コプリガード」は持ち出し操作そのものを防止することができます。ランサムウェア対策や標的型攻撃に対して、エンドポイントセキュリティのひとつとして機能します。
ファイルサーバーなどで社内共有する重要データを、利用者が持ち出す操作(コピー、印刷、メール添付、アップロードなど)を禁止します。しかも、強固さだけでなく、管理者の運用負担軽減や、利用者の使いやすさも兼ね備えた、シンプルかつ高機能、バランスよい製品です。
●コピー、印刷、メール添付、アップロード一切禁止!
●サーバー不要で、すぐに導入できる!
●USBへの保存、コピーも禁止!
11.アプリケーションホワイトリスティング
ホワイトリスティングは、エンドポイント上で実行可能なアプリケーションを限定するセキュリティ技術です。許可されたアプリケーションのみを動作させ、悪意あるプログラムや不要なソフトウェアの実行を防ぎます。
12.リモートワイプ
リモートワイプは、エンドポイントデバイスが盗難や紛失した場合に、リモートからデータを消去する機能です。これにより第三者による、データの不正利用を防ぐことができます。管理者が指定した条件を満たした場合に、自動的にデータを削除する機能もあります。
※リモートワイプとは目的が異なりますが、データを自動消去したい目的には、弊社「トランセーファー」。ファイル暗号化時に有効期限を付与しておき、配布後に一定期間経過したら自動消去することが可能です。
ファイル暗号化により、まず第三者の不正利用を禁止し、権限を持つ正規ユーザーでも閲覧時のデータコピー&印刷を禁止して保護、さらに期間経過には自動消去と、情報漏洩を強固に防止します。
以上、エンドポイントセキュリティについて、その種類やアンチウイルスソフトとの違いを中心に、必要な施策をご説明させていただきました。
最後までお読み頂き、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説していきます。
