エンドポイント セキュリティーとは？

また、エンドポイント・セキュリティーは、エンドポイント・デバイスを利用してネットワーク上の機密データやその他の資産に対してサイバー攻撃を仕掛けようとする敵からネットワークを保護します。

エンドポイントは、依然としてサイバー攻撃における企業ネットワークへの主要な侵入口になっています。さまざまな調査で、成功したサイバー攻撃の90％、成功したデータ侵害の70％がエンドポイント・デバイスを起点としていると推定されています。IBMの「データ侵害のコストに関する調査」によると、データ侵害により企業にかかる平均コストは444万米ドルにのぼります。

今日の企業は、より多種多様なエンドポイントを保護する必要があり、保護する必要のあるエンドポイントの数も増えています。個人所有デバイスの業務使用（BYOD）ポリシー、増えるリモートワーク、IoTデバイスや顧客向けデバイス、ネットワーク接続製品の急増により、ハッカーが悪用できるエンドポイントと、セキュリティー・チームが保護しなければならない脆弱性が大幅に増えています。

エンドポイント・セキュリティー・ソフトウェアの元祖であるアンチウィルス・ソフトウェアは、既存の携帯のマルウェア（トロイの木馬、ワーム、アドウェアなど）からエンドポイントを保護します。

従来のアンチウィルス・ソフトウェアでは、エンドポイント・デバイス上のファイルをスキャンして、マルウェア・シグネチャー（既知のウイルスやマルウェアに特徴的なバイト列）を検出していました。ウイルスが検出されると、ソフトウェアがユーザーまたは管理者に警告を発し、ウイルスを隔離して除去し、感染したファイルを修復するためのツールを提供しました。

現在のアンチウィルス・ソフトウェアは、しばしば次世代アンチウイルス（NGAV）と呼ばれ、シグネチャーを残さないマルウェアなどの、より新しいタイプのマルウェアを識別して対応することができます。例えば、NGAVは、ファイルレス・マルウェア（メモリ内に常駐し、正規のアプリケーションのコードに悪意のあるスクリプトを挿入するマルウェア）を検出できます。また、NGAVでは、不審な挙動パターンを既知のウイルスの挙動パターンと比較するヒューリスティックや、ファイルをスキャンしてウイルス感染やマルウェア感染の兆候を調べるインテグリティ―・スキャンを使用して、疑わしいアクティビティーを特定することもできます。

数個のエンドポイントを保護するには、アンチウィルス・ソフトウェアだけで十分な場合があります。それ以上の場合は、通常、エンタープライズ規模のエンドポイント保護プラットフォーム（EPP）が必要です。EPPは、NGAVと次のような他のエンドポイント・セキュリティー・ソリューションを組み合わせたものです。

• Webコントロール：このソフトウェアは、Webフィルターと呼ばれることもあり、Webサイトやユーザーがダウンロードしたファイルに隠された悪意のあるコードからユーザーと組織を保護します。Webコントロール・ソフトウェアには、ホワイトリスト機能とブラックリスト機能も含まれており、ユーザーがアクセスできるサイトをセキュリティー・チームが制御できます。
  
  
• データ分類とデータ損失防止：これらのテクノロジーは、機密データがクラウドかオンプレミスかを問わずどこに保管されているかを文書化し、そのデータへの不正アクセスや漏洩を防止します。
  
  
• 統合ファイアウォール：これらのファイアウォールは、ネットワークにおける不正なトラフィックの出入りを防ぐことで、ネットワーク・セキュリティーを強化するハードウェアまたはソフトウェアです。
  
  
• Eメール・ゲートウェイ：これらのゲートウェイは、フィッシングやソーシャル・エンジニアリング攻撃をブロックするために受信メールのスクリーニングを行うソフトウェアです。
  
  
• アプリケーション・コントロール：このテクノロジーにより、セキュリティー・チームはデバイスへのアプリケーションのインストールと使用をモニターおよび制御し、安全でないアプリケーションや許可されていないアプリケーションの使用と実行をブロックできます。

EPPは、これらのエンドポイント・ソリューションを中央管理コンソールに統合します。このコンソールでは、セキュリティー・チームまたはシステム管理者が、すべてのエンドポイントのセキュリティーのモニターおよび管理を行うことができます。例えば、EPPは各エンドポイントに適切なセキュリティー・ツールを割り当て、必要に応じてそれらのツールの更新またはパッチ適用を行い、企業のセキュリティー・ポリシーを管理できます。

EPPはオンプレミスでもクラウド・ベースでも構いません。ただし、最初にEPPカテゴリーを定義した業界アナリストであるGartner社（ibm.com外部へのリンク）は、「望ましいEPPソリューションは主にクラウド管理されたものであり、エンドポイントが企業ネットワーク上にあるかオフィスの外部にあるかにかかわらず、継続的なモニターとアクティビティー・データの収集が可能で、リモートで修復アクションを実行できる機能を備えている」と言及しています。

EPPは、既知の脅威、または既知の方法で動作する脅威を防ぐことに重点を置いていますが、もう1つのエンドポイント・セキュリティー・ソリューションに、EDR（エンドポイントの検知と対応）があります。これを使用して、セキュリティー・チームは予防的なエンドポイント・セキュリティー・ツールをすり抜けた脅威に対応できます。

EDRソリューションは、各デバイスに入るファイルやアプリケーションを継続的にモニターし、マルウェア、ランサムウェア、高度な脅威を示す疑わしいアクティビティーや悪意のあるアクティビティーを追跡します。また、EDRは、詳細なセキュリティー・データとテレメトリーを継続的に収集し、データレイクに保存します。これを使用して、リアルタイム分析、根本原因の調査、脅威ハンティングなどを行うことができます。

通常、EDRには高度な分析、挙動分析、人工知能（AI）と機械学習、自動化機能、インテリジェント・アラート、調査および修復の機能が含まれており、セキュリティー・チームは以下のことを行うことができます。

• 侵害の指標（IOC）やその他のエンドポイント・セキュリティー・データを脅威インテリジェンス・フィードと関連付けて、高度な脅威をリアルタイムで検出します。
  
  
• 疑わしいアクティビティーや実際の脅威に関する通知を、根本原因の特定と脅威調査の迅速化に役立つコンテキスト・データとともにリアルタイムで受信します。
  
  
• 静的分析（悪意または感染が疑われるコードの分析）または動的分析（疑いのあるコードを分離した状態で実行）を行います。
  
  
• エンドポイント動作のしきい値と、しきい値を超えた場合のアラートを設定します。
  
  
• 個々のデバイスの切断と隔離、プロセスのブロックなどの対応を自動化し、脅威が解決されるまでの被害を軽減します
  
  
• 他のエンドポイント・デバイスが同じサイバー攻撃の影響を受けているかどうかを確認する

新しい、あるいはより高度なEPPの多くにはEDR機能が含まれていますが、予防と対応を含む完全なエンドポイント保護のためには、ほとんどの企業はその両方のテクノロジーを採用する必要があります。

拡張検出および対応（XDR）は、EDRの脅威検出および対応モデルをインフラストラクチャーのすべての領域またはレイヤーに拡張し、エンドポイント・デバイスだけでなく、アプリケーション、データベースとストレージ、ネットワーク、クラウド・ワークロードも保護します。XDRは、Software-as-a-Service（SaaS）サービスであり、オンプレミスとクラウドのリソースを保護します。一部のXDRプラットフォームでは、単一のベンダーまたはクラウド・サービス・プロバイダーのセキュリティー製品が統合されていますが、組織が必要とするセキュリティー・ソリューションを追加して統合することもできるプラットフォームが最善といえます。