エンドポイントとは「終点、末端」の意味で、ICTの分野ではネットワークの末端に接続されているPCやモバイル端末、サーバーなどを意味します。
これらエンドポイントはセキュリティ攻撃の対象となりやすく、マルウェアなどの感染の可能性が高まりやすいことからセキュリティ保護や対策が必要です。
現代の働き方においてPCやモバイル、タブレットなどはビジネスを円滑に進める上でなくてはならないものですから、企業はエンドポイントセキュリティ対策を早急に進めるべきです。
ただしエンドポイントセキュリティと言ってもさまざまなソリューションやサービスが存在します。これらを選ぶ前にまずは現在のエンドポイントセキュリティの主流について掴んでおきましょう。
現在のエンドポイントセキュリティの主流となっているソリューションを3つ挙げるとなると以下と言えるでしょう。
これらはどう言ったエンドポイントセキュリティソリューションなのでしょうか。
EPPは現在、エンドポイントセキュリティの主流の一つとなっています。
EPP(Endpoint Protection Platform)とは、マルウェアなど悪意あるソフトウェアの侵入を検知・分析し、既知のマルウェアの感染を防止するためのセキュリティ対策です。
EDR(Endpoint Detection and Response)は、エンドポイントから発生するセキュリティインシデント(悪意あるソフトウェアなどの攻撃により、マルウェアなどに感染した状況)を検知し、迅速に対応するソリューションです。
EPPとの違いはEPPは予防、EDRは検知、対応を行う点です。
EDRは行動分析や機械学習により、未知であったり潜在的な脅威を迅速に特定し、適切に対応します。
これにより、マルウェアなどの攻撃の早期発見と対応が可能になり、企業のビジネス継続の可能性を高めることができます。
NGEPP(Next Generation Endpoint Protection Platform)・NGAV(Next Generation Anti-Virus)は文字通り次世代(Next Generation)型セキュリティ対策の総称です。
現在も主流であるEPPですが、未知のマルウェアや日々進化していくサイバー攻撃の防御に対して後手に回ることが増えつつあります。それをカバーするのがこのNGEPPやNGAVです。
どちらも機械学習や振る舞い検知技術が搭載され、未知のマルウェアに対応できることが強みです。
このように現在のエンドポイントセキュリティの主力であるEPP、そして次世代のソリューションであるNGEPPやNGAVは非常に大事ではありますが、100%防ぐことはなかなか難しいもの。
そうなると侵入してきたマルウェアなどサイバー攻撃に対していち早く検知、対応やシャットアウトをする必要性が高まるのではないでしょうか。
そうなるとやはりEDRの存在にフォーカスが当てられることになります。
このEDRについてもう少し深掘りしておきましょう。
EDRが今後のエンドポイントセキュリティ対策の主流と考えられる理由として、以下の2つが挙げられます。
EDRは先述したようにEPPなど予防を司るソリューションとは違い、挙動監視に基づいて脅威を検知するのが役割。
新種や未知のマルウェアなどサイバー攻撃が万が一、エンドポイントに侵入してきたとしても即座に検知、対応が可能です。
さらに、標的型攻撃など高度化・複雑化したサイバー攻撃においても、行動分析や機械学習などの機能により、拡散や感染を早期に検知することが期待できます。
続いて、EDRの主要機能を確認しましょう。
EDRの機能と効果をまとめると、以下のようなものが挙げられます。
| 機能 | 機能概要 | 効果 |
|---|---|---|
| プロセスの監視 | エンドポイントで実行されるプロセスを監視する機能 | マルウェアの実行や不正なプロセスの起動を検知 |
| ファイルの監視 | エンドポイントでアクセスされるファイルや操作されるファイルを監視する機能 | マルウェアのダウンロードや不正なファイルの操作を検知 |
| ネットワークの監視 | エンドポイントのネットワーク通信を監視する機能 | 不正な通信や外部からの侵入を検知 |
| ログの収集・分析 | エンドポイントの動作を記録・分析する機能 | 不審な兆候を検知し、攻撃の全容を把握する |
| インシデント対応の自動化 | 疑わしい活動が見つかった場合、自動でファイルの隔離やプロセスの終了などの初動対応を実施 | 被害の拡大を抑制し、対応の迅速化を図る |
マルウェアは、通常のソフトウェアやアプリケーションとは異なる振る舞いを行ったり、外部と異常な通信を行ったりすることがあります。
プロセスやファイル、ネットワークを監視することで異変を自動で検知し、迅速にセキュリティ管理者に通知を行います。
また同時にログの収集・分析を行いインシデント対応を早期に行うことができるというわけです。
管理者は、マルウェアに感染した端末を切り離したり、シャットダウンを行ったりすることで、被害の拡大を防ぐことを可能とします。
いかがだったでしょうか、今回はエンドポイントセキュリティ対策の主流となるソリューションと、その中でも重要な役割を担うEDRをピックアップして解説してきました。
もちろんEDRだけを導入しても効果は限定的であり、EPPや次世代ソリューションであるNGEPPやNGAVなどを組み合わせて導入することが重要です。
とはいえ、これからエンドポイントセキュリティ対策を自社で導入したり、セキュリティ部門を立ち上げようと考えても人的リソースや知見が不足するケースも多いでしょう。
そもそも何から対策を始めれば良いかわからないという企業様もいらっしゃると思います。
そう言った方はぜひNECネッツエスアイまでご相談ください。
NECネッツエスアイはセキュリティ運用サービスであるSOC(Security Operation Center)の提供実績を20年以上誇る、実績あるサイバーセキュリティ/エンドポイントのセキュリティベンダーです。
ご相談いただければ今回解説したエンドポイントセキュリティ対策の主流となっているソリューションの他にも環境や課題に合わせたセキュリティ対策のご提案が可能。
またフルポートをお任せいただければ24時間、365日体制のSOCサービスをご提供し、インシデント対応を行います。
Sakanishi Kazuma
