エンドポイントセキュリティの要件とは|限界を迎えるアンチウイルス

 伊藤忠テクノソリューションズの川村です。近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来のアンチウイルス製品だけではカバーできない脅威が横行しています。本書では、これからのエンドポイントセキュリティを考える上で重要となるポイントや対策について解説します。



▼ 目次
1. エンドポイントセキュリティとは
2. これまでのアンチウイルス製品
3. エンドポイントを取り巻く昨今の脅威
4. エンドポイントセキュリティは何が重要なのか
5. いま注目されるセキュリティ対策、EDR / NGAV





1. エンドポイントセキュリティとは



1-1. エンドポイント

 エンドポイントとは、通信回線やネットワークの末端に接続されるPCやサーバ、モバイルなどのことを指します。上記の定義の通り、「末端」という言葉からエンドポイントと呼ばれています。



1-2. エンドポイントセキュリティ

 エンドポイントにあたるコンピュータのセキュリティ対策をエンドポイントセキュリティといいます。


 具体的には下記の対策が該当します。

  • アンチウイルス
  • パーソナルファイアウォール
  • データ暗号化
  • 脆弱性管理



 なお、一般的にエンドポイントセキュリティは業務用PCを対象にしたアンチウイルスと認識されていることが多いです。


 エンドポイントのセキュリティ対策は以前から多くの企業で行われてきました。今日では、アンチウイルス製品を導入済みの企業が大多数かと思います。


 では、多くの企業で既にエンドポイントの対策が行われているのであれば、なぜ今エンドポイントセキュリティが注目されているのでしょうか。


 それは昨今のサイバー攻撃が巧妙化・多様化し、従来型のアンチウイルス製品では防ぎきれない脅威が増えているからです。例えば、ここ数年で大きなニュースになったランサムウェアは対策を実施済みの多くの企業でも感染拡大し猛威を振るいました。


 すなわち、今日の脅威にはこれまで通りの従来型のアンチウイルスだけでは不十分であり、対策を見直すことが必要になってきているのです。


エンドポイントセキュリティ






2. これまでのアンチウイルス

 アンチウイルス製品とは、マルウェアを検出・除去することでエンドポイントの防御を目的にしたソフトウェアです。



2-1. マルウェアによる脅威

 マルウェアは悪意のあるソフトウェアの総称で、コンピュータウイルスやワーム、トロイの木馬などが含まれます。


 PCがマルウェアに感染すると、下記の被害に遭う可能性があります。

  • 企業の機密情報・個人情報の漏洩
  • スパムメールやDDoS攻撃の踏み台にされ犯罪に加担
  • システムやファイルの破壊によって業務が停止



2-2. アンチウイルスによる防御

 このようなマルウェアの脅威に対抗するためにアンチウイルスが誕生しました。
 アンチウイルスはシグネチャを用いたブラックリスト型の対策でマルウェアを検出します。端末に出入りするファイルとシグネチャをパターンマッチングし、合致したファイルはマルウェアと判断してブロックします。


エンドポイントセキュリティ






3. エンドポイントを取り巻く昨今の脅威

 エンドポイントの脅威状況はここ数年で大きく変化しています。ここでは特に以下の2つを取り上げます。



3-1. 攻撃手法の巧妙化

 今日のサイバー攻撃は非常に巧妙になっています。特に昨今では、検知が非常に難しいファイルレスマルウェアと呼ばれるタイプのマルウェアが非常に多く観測されています。


 ファイルレスマルウェアとは、実行ファイルなしでPCに侵入し攻撃を行うマルウェアです。


 従来のマルウェアは、何らかの手法でユーザに不正なソフトウェアをインストールさせ攻撃を実行していました。

 一方、ファイルレスマルウェアは、OS標準ツールであるPowerShell等を悪用し、標的に感染・攻撃を進行します。実行ファイルが用いられることなく、攻撃コードはメモリ上に展開されるだけなので、ディスクにはファイルの痕跡も残らず侵入前後での検出は非常に困難です。


 最近では、大きな被害を出したランサムウェアや仮想通貨のマイニングマルウェアの一部でもこのファイルレスマルウェアの手法が取られており、多くの企業で感染が拡大した一因となっています。



3-2. 社外に持ち出されるPCのリスク

 また、ここ最近では多くの企業で働き方改革の取り組みが行われ、PCを社外に持ち出して業務を行うというのが一般的になってきています。いつでも、どこでも、好きなように仕事ができ、業務効率のアップにも繋がるため、この流れは今後もますます進むと考えられています。


 しかし、一方で持ち出しPCのセキュリティ対策は企業の課題となっています。


 これまでは業務用のPCが社内からでることはありませんでした。そのため、インターネットと社内ネットワークとの境界面での対策で、PCも一緒に守られていました。


 ところが、PCが社外に持ち出されてしまえば、この境界面での対策は無意味となってしまいます。外出や出張先で接続した公共ネットワーク経由でマルウェアをダウンロードすれば、そのままマルウェアはPCへ到達してしまいます。


 このような今日の脅威状況には従来型のアンチウイルスだけでは不十分であり、下記のような課題が残ります。

  • ファイルレスマルウェアを検知できない
    • アンチウイルスの検査対象はファイルです。そのため、ファイルレスマルウェアでは検査対象のファイルが存在しないので検出できません。
  • 外部に持ち出されるPC(オフライン)での検出力や管理の課題
    • アンチウイルスで新しいマルウェアを検出するには、シグネチャを最新の状態にしておく必要がありますが、外出先ではPCがオフラインとなることも多く、常に更新した状態を保つことは容易ではありません。
    • また、従来型のアンチウイルスは管理マネージャーを社内のオンプレ環境に持つことがほとんどです。そのため、セキュリティ担当者は社外に持ち出されたPCの状況を把握し管理することが困難になります。
  • 防御中心の考え方
    • アンチウイルスは防御を主眼としています。防御が重要というのは当然のことですが、昨今の脅威を100%防ぎきることは不可能です。万が一侵入されてしまった後の対策も考える必要があります。






4. エンドポイントセキュリティは何が重要か

 今日の巧妙化する脅威に対してエンドポイントセキュリティに求められることは、下記の2つだと筆者は考えます。



 この事前防御と事後対応について、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワークを引用し説明させていただきます。サイバーセキュリティフレームワークとは、企業に求められるセキュリティ対策についてまとめられた枠組みであり、下記の5つの機能に分類し記載されています。

  • 特定
  • 防御
  • 検知
  • 対応
  • 復旧



 アンチウイルスはこのフレームワークにおいて防御に該当する対策です。裏を返すと、アンチウイルスではその他の対策は行えず明らかに不十分だといえます。では、先にお伝えした事前防御と事後対応はこのフレームワークのどこに該当するのかですが、下記のようになります。

  • 事前防御 = 特定、防御
  • 事後対応 = 検知、対応、復旧



 すなわち、侵入経路を特定し高精度で脅威をブロックすることが事前防御、すり抜けてしまった脅威を見つけ出して端末を隔離・復旧することが事後対応です。


 この事前防御と事後対応の両輪揃った対策が、今のエンドポイントセキュリティには必要です。



4-1. 事前防御

 事前防御では、ローカルの検出エンジンで脅威を高精度に検出できることが重要です。ファイル解析だけではなく、プロセスなどのシステム挙動の解析にもAI技術を活用し巧妙な脅威を対策する必要があります。


 近年では多くのセキュリティベンダーでAIを活用したマルウェア検出エンジンの開発が進んでいます。しかし、製品によっては機能の利用にインターネット接続が必須なため、オフラインでは検知力が下がる点が課題となります。


 常に高い検知率でセキュリティ保護を実現するためにも、ローカルエンジンで強力に防御できることが重要です。



エンドポイントセキュリティ



4-2. 事後対応

 事後対応では、アンチウイルスをすり抜けてしまった脅威に対して、早急な検出、進行状況の把握、状況に合わせた即時対応が求められます。そこで重要になるのがクラウドで管理し対応することです。


 管理サーバをクラウドに持つことで社内外のPCを一元管理できます。端末から収集された情報はクラウド上のビックデータと相関分析することで、アンチウイルスによる防御をすり抜けてしまった脅威を検出します。
また、侵害が確認された場合に地理的・時間的な制約を受けることなく即座に対処するためにもクラウドでの管理が重要です。


 もし、出張中にPCがマルウェア感染してしまった場合、オンプレでの管理サーバでは状況をすぐには把握できません。社員が社内に戻ってきて初めて侵害を受けていたことが発覚するため、対応も遅れてしまいます。


 管理サーバがクラウドにあれば、たとえ海外出張中でも状況を把握しリアルタイムに対応を取ることが可能です。


エンドポイントセキュリティ






5. いま注目されるセキュリティ対策、NGAV / EDR

 事前防御と事後対応について説明してきました。ここからは具体的にどのような製品群でエンドポイントセキュリティの強化を実現できるのかご紹介します。



5-1. NGAV

 NGAVとは、次世代アンチウイルスのことで「事前防御」にフォーカスした製品群です。マルウェアの侵入や実行を高い精度で防御します。


 NGAVではAI・機械学習技術でファイルやシステム挙動を解析し、高い精度でマルウェアをブロックします。ファイルレスマルウェアのような巧妙な脅威もそのプロセス挙動から検出・ブロックを実現します。また、従来型のアンチウイルス製品では日々のシグネチャ更新やディスクフルスキャンを行いますが、NGAVではシグネチャレスで最新の脅威に対応します。



5-2. EDR

 EDRとは、Endpoint Detection and Responseの略称で「事後対応」にフォーカスした製品群です。一言で表すと、脅威侵入後のダメージを制御するセキュリティ対策です。

 あくまでも防御のその後の対策となるため、既存で導入するアンチウイルス製品と組み合わせて導入されるケースが多いです。


 EDRではクラウド上にある脅威情報と端末で発生するシステム活動を相関分析し、攻撃の予兆を検知します。検知された攻撃はその全体像や影響範囲をリアルタイムに可視化し、進行状況によってネットワーク隔離などの対応が可能です。


 NGAVやEDRの要素を持ち合わせ、いま注目されている製品の1つとしてSentinelOne EPP が挙げられます。
 SentinelOne EPPは事前防御と事後対応の機能を1製品で実現し、多くの企業で抱えるエンドポイントセキュリティの課題を解決します。


 SentinelOne EPP の詳細については下記のページでご確認いただけます。


関連製品







まとめ

 本記事では、今後に求められるエンドポイントセキュリティについて解説しました。今日では従来型のアンチウイルスだけでは対抗できない脅威が多く、事前防御と事後対応を備えたエンドポイントセキュリティの対策が必要であることを、ご理解いただけたかと思います。


 繰り返しになりますが、ポイントはシステムをエンドポイント、サーバ、ネットワークといったレイヤーにわけ、それぞれの場所で適切に対策を設けることです。

 最良の多層防御を実現する上で、それぞれのポイントでどのような防御手段が必要なのか、詳細は下記よりご覧ください。

関連記事を読む



著者プロフィール

著者アイコン
川村優太
伊藤忠テクノソリューションズ株式会社在職中 | 1. 現在の担当業務 : サーバセキュリティのプリセールスを担当 | 2. 趣味 : 洗車 | 3. 好物 : 節度ある辛い物