エンドポイントセキュリティが大切な理由

    

そもそもエンドポイントとは?

企業のネットワークは、非常におおまかに言えば、ルータやスイッチ、サーバー、クライアント、周辺機器などによって構成されています。ルータやスイッチはネットワークとネットワークをつなぐもので、企業のネットワークとインターネットをつなぐ部分にも設置されます。サーバーは目的別に特定の機能を提供するための機器で、ファイルサーバーやデータベースサーバー、グループウェア用のサーバーなど多くの種類があります。

クライアントは、さまざまなサーバーや周辺機器、インターネットなどを使って業務を行うための機器です。これにはPCやノートPC、タブレットやスマートフォンなどのスマートデバイスも含まれます。サーバーを利用する意味からクライアントと呼ばれますが、これらはネットワーク末端にあるため、エンドポイントとも呼ばれます。エンドポイントという言葉には、終点や末端といった意味があるのです。

エンドポイントは、企業のビジネスを動かす原動力でもあります。そのため、企業の内外とメールなどで情報をやり取りしたり、さまざまなアプリケーションを実行したり、インターネットにアクセスして情報を収集したりします。末端である一方で、社外との通信が最も多いのです。それだけにマルウェアなどの脅威が侵入する入口にもなってしまいます。

エンドポイントのPCなどは、当然ながら企業の内部ネットワークにつながっており、業務上、社内のサーバーなどにもアクセスできます。それだけに、たとえばエンドポイントのPCがマルウェアに感染してしまうと、社内のサーバーにアクセスされてしまう可能性がありますし、マルウェアが企業内部で感染を拡大してしまう可能性もあります。エンドポイントセキュリティが重要といわれるのは、このためです。

変化するエンドポイント環境

エンドポイントを取り巻く環境は、ここ数年で劇的に変化しています。特に大きな要因は、クラウド化とWi-Fi(無線LAN)の普及、そして「働き方改革」です。クラウド化によって、SaaS(Software as a Service:ソフトウェアのサービス化)やIaaS(Infrastructure as a Service:インフラのサービス化)などの利用が大幅に増えました。ソフトウェアやサーバーなどを購入して自社で運用・管理するよりも、サービスを利用した方がコスト面で有利であったり、運用管理の手間も軽減されたりするケースが多いです。

また、Wi-Fiの普及と働き方改革への対応により、外出先や自宅で業務を行うリモートワークが増えています。エンドポイントであるPCを社外に持ち出し、Wi-Fiに接続して業務を行うわけです。これらの環境の変化によって、企業のゲートウェイにおけるセキュリティ対策が意味をなさなくなってきました。以前は企業のネットワーク内にあり、外出先からはVPN(インターネットをトンネルで抜ける通信)によって、すべての通信が企業のゲートウェイを通っていたのが、リモートワークの普及によって直接インターネットにアクセスするようになっています。

ゲートウェイでのセキュリティチェックができなくなったため、エンドポイント単体でのセキュリティ対策がより重要になっています。これに加えて、マルウェアが巧妙化、複雑化も進んでいます。数年前に著名セキュリティ企業が「ウイルス対策ソフトは死んだ」と発信しました。これは、「従来の仕組みの」セキュリティ対策が役に立たなくなったという意味でした。マルウェアが巧妙化、複雑化したことで、従来のパターンマッチングによる対策ではマルウェアを検知しきれなくなってしまったのです。

いま求められるエンドポイント対策とは

現在のマルウェアは、ユーザーに感染したことを気づかせません。エンドポイントの脆弱性(ソフトウェアの不具合:セキュリティホール)を悪用することや、無害な添付ファイルを装うなどの巧妙な手段で侵入し、その裏で感染が進んでいきます。感染したマルウェアはサイバー攻撃者との通信を可能にして指示を待ち、サイバー攻撃者はその通信を使って次々にマルウェアを送り込んだり、情報を盗み出したりします。

こうして侵入したマルウェアは、エンドポイントのPCなどが企業のネットワークに接続したタイミングを見計らって、企業内にも侵入し、重要な情報を盗み出すなどの悪さをするわけです。さらに、これらのマルウェアはパターンマッチングでは検出されない未知のマルウェアが使われる傾向にあります。そこで有効な対策となるのが、パターンファイルに依存せず、ファイルの構造や振る舞いから不正な動作を検知できる次世代エンドポイントセキュリティ対策ソフトです。

たとえば、パターンファイルやクラウド上のデータベースに依存するような対策製品は、エンドポイントがインターネットに接続できることが前提になりますが、ファイルの構造や振る舞いから不正な動作を検知できる次世代エンドポイントセキュリティ対策ソフトは、オフライン環境においても検知能力は変わりません。さらに、攻撃者の思考を先回りした検知ロジックにより、既知・未知のマルウェアや脆弱性を利用した攻撃を高精度で防御する「先読み防御」技術を搭載していれば、安全性は格段に高まるのです。

EDR製品との比較とメリットとは?

次世代エンドポイントセキュリティ製品は、「NGEPP(NGAV)」と「EDR」という大別ができます。
FFRIで提供している「FFRI yarai」はNGEPPに分類される製品であり、グローバルで見てもかなり早い段階で商用化(2009年販売開始)している製品です。

NGEPPは「Next Generation Endpoint Protection Platform:次世代エンドポイント保護プラットフォーム」という意味です。いわゆるウイルス対策ソフト(既知脅威対策)に代表される「EPP」では対応が困難であった未知の脅威に対抗するためのソリューションであり、パターンマッチング技術に依存しないエンドポイント保護のことを指します。昨今では機械学習などの人工知能(AI)を検知技術として採用している製品もあります。
EDRとは異なり、検知した脅威はエンドポイント上でリアルタイムにブロックすることができるため、マルウェアによる実害を防ぐことが特徴です。

EDRとは、「Endpoint Detection and Response:エンドポイントでの検出と対応」という意味です。エンドポイントにおける操作や動作を記録し、そのログを分析することで感染後の早期検知や可視化にフォーカスしたフォレンジックソリューションです。基本的には、感染を前提として事後対策に強みを発揮するものであり、NGEPPのようにリアルタイムに脅威をブロックはしません。
また、運用には専門知識が必要とされているため、検知後の対応サービスとセットでの提供が増えています。

    

エンドポイントセキュリティ市場の分類

それぞれのソリューションの特徴について、様々な観点があるので一概に特性を示すことは難しいですが、シンプルに目的を示すと以下になるかと思います。
NGEPPの目的は、リアルタイムにマルウェア脅威の感染・実害発生を防ぐことです。
EDRの目的は、感染してしまった場合でも、フォレンジックに必要な情報を効率的に可視化し、対処することです。

エンドポイント対策:NGEPPとEDRの比較

NGEPPEDR
目的マルウェアを防御マルウェアを検知し可視化する
感染リアルタイムに防御事後対応
運用防御に専門的な知見の必要なし専門的な知見が必要
メリット未然防御(事後対応コストが軽微)端末業務への影響が軽微

NGEPPであるFFRI yarai は、例えば以下のような特徴と導入メリットがあります。

  • エンドポイント多層防御を実現し、リアルタイムに未知脅威をブロックすることにより、EDRでは必要となる事後対応コストの削減
  • 検知時の動作をログ出力モードにすることで、業務に影響を与えたくない環境の端末だけを指定して検知アラートを出力可能
  • NGEPPだけではなく、シンプルなEDR機能を追加費用なしで利用可能。潜伏する脅威が組織内にいないか最新の脅威情報を元に調査を行い、可視化、レスポンス対応、報告用のレポートを出力等が可能

FFRI yarai はNGEPPを主軸とした製品ですが、EDR機能も利用することができます。このEDR機能はシンプルな構成になっており、一般的なEDR製品の運用で求められるような高度なセキュリティ技術者は必要なく、簡単な操作で端末に潜む脅威を検索します。

FFRI yaraiのお問い合わせはこちら

次世代エンドポイントセキュリティ特集一覧

次世代エンドポイントセキュリティ特集


法人向け 次世代エンドポイント製品

Yarai Yarai

エンドポイントでの多層防御により未知の脅威をブロック

FFRI yaraiは、パターンファイルに依存しない「先読み防御」技術を徹底的に追及した次世代エンドポイントセキュリティです。 標的型攻撃のトリガーとなる未知の脆弱性攻撃や、未知のマルウェア攻撃からシステムを保護します。

次世代エンドポイントセキュリティ
FFRI yarai製品詳細

お問い合わせ

個人・小規模事業者向け 次世代エンドポイント製品

FFRI yarai Home and Business Edition FFRI yarai Home and Business Edition

「先読み防御」技術で仕事もプライベートも保護

次世代エンドポイントセキュリティFFRI yarai Home and Business Editionは、従来のパターンマッチング型ウイルス対策ソフトでは防御することが難しかった未知の脅威を、独自の「先読み防御」技術を用いた多層構造の検出エンジンで防御する個人・小規模事業者向けセキュリティソフトです。

次世代エンドポイントセキュリティ
FFRI yarai Home and Business Edition
製品詳細

pagetop