エンドポイント・セキュリティーは、ネットワークの重要なサイバーセキュリティー防御の最前線であり、エンドユーザーとエンドポイント・デバイス(デスクトップ、ノートPC、モバイル・デバイス、サーバー) をサイバー攻撃から保護します。 また、エンドポイント・セキュリティーは、エンドポイント・デバイスを利用してネットワーク上の機密データやその他の資産に対するサイバー攻撃を開始しようとする攻撃者からネットワークを保護します。
エンドポイントは、依然としてサイバー攻撃におけるエンタープライズ・ネットワークへの主要な入口になっています。 さまざまな調査で、成功したサイバー攻撃の90%、成功したデータ侵害の70%がエンドポイント・デバイスを起点としていると推定されています。 「IBM Security® Cost of a Data Breach Report 2021」によると、平均的なデータ侵害のコストは424万米ドルでした。
今日の企業は、これまで以上に多くのエンドポイントと、より多くの種類のエンドポイントを保護する必要があります。 BYOD(個人所有デバイスの業務使用)ポリシー、増加するリモートワーク、そして急増するIoTデバイス、顧客向けデバイス、ネットワーク接続製品は、ハッカーが悪用できるエンドポイントと、セキュリティー・チームが保護しなければならない脆弱性を増大させています。
エンドポイント・セキュリティー・ソフトウェアの元祖であるアンチウィルス・ソフトウェアは、既知の形態のマルウェア(トロイの木馬、ワーム、アドウェアなど)からエンドポイントを保護します。
従来のアンチウィルス・ソフトウェアでは、エンドポイント・デバイス上のファイルをスキャンして、マルウェア・シグニチャー(既知のウィルスまたはマルウェアに特徴的なバイト列)を検出していました。 ウィルスが検出されると、ソフトウェアがユーザーまたは管理者に警告を発し、ウィルスを分離および除去し、感染したファイルを修復するためのツールを提供しました。
現在のアンチウィルス・ソフトウェアは、しばしば次世代アンチウィルス(NGAV)と呼ばれ、シグニチャーを残さないマルウェアなどの、より新しいタイプのマルウェアを特定して対抗することができます。 例えば、NGAVは、ファイルレス・マルウェア(メモリー上に存在し、正規のアプリケーションのコードに悪意のあるスクリプトを挿入するマルウェア)を検出できます。 また、NGAVでは、疑わしい動作パターンを既知のウィルスの動作パターンと比較するヒューリスティックや、ファイルをスキャンしてウィルスやマルウェアの感染の徴候を調べるインテグリティー・スキャンを使用して、疑わしい動作を特定することもできます。
小数のエンドポイントを保護する場合は、アンチウィルス・ソフトウェアだけで十分な場合があります。 それ以上の場合は、通常、エンタープライズ保護プラットフォーム(EPP)が必要です。 EPPは、NGAVと他のエンドポイント・セキュリティー・ソリューションの組み合わせであり、以下のようなものがあります。
- Webコントロール:Webフィルターとも呼ばれるこのソフトウェアは、Webサイトやユーザーがダウンロードしたファイル内に隠された悪意のあるコードからユーザーや組織を保護します。 Webコントロール・ソフトウェアには、ホワイトリスト機能とブラックリスト機能も組み込まれており、ユーザーがアクセスできるサイトをセキュリティー・チームが制御できます。
- データ分類とデータ損失防止:これらのテクノロジーは、機密データがクラウドまたはオンプレミスのどこに保管されているかを文書化し、そのデータへの不正アクセスやデータの漏洩を防止します。
- 統合ファイアウォール:これらのファイアウォールは、ネットワークへの不正なトラフィックとネットワークからの不正なトラフィックを防止することによって、ネットワーク・セキュリティーを強化するハードウェアまたはソフトウェアです。
- Eメール・ゲートウェイ:これらのゲートウェイは、フィッシング攻撃やソーシャル・エンジニアリング攻撃をブロックするために、着信Eメールをスクリーニングするソフトウェアです。
- アプリケーション・コントロール:このテクノロジーにより、セキュリティー・チームはデバイス上のアプリケーションのインストールと使用をモニターおよび制御し、安全でないアプリケーションや承認されていないアプリケーションの使用と実行をブロックできます。
EPPは、これらのエンドポイント・ソリューションを中央管理コンソールに統合します。このコンソールでは、セキュリティー・チームまたはシステム管理者が、すべてのエンドポイントのモニターとセキュリティーの管理を行うことができます。 例えば、EPPは各エンドポイントに適切なセキュリティー・ツールを割り当て、必要に応じてそれらのツールを更新またはパッチ適用し、企業のセキュリティー・ポリシーを管理できます。
EPPは、オンプレミスでもクラウド・ベースでも構いません。 しかし、最初にEPPカテゴリーを定義した業界アナリストのGartner社 (リンクはibm.comの外部)は、「望ましいEPPソリューションは主にクラウド管理されたものであり、エンドポイントが企業ネットワーク上にあるかオフィス外にあるかにかかわらず、継続的なモニターとアクティビティー・データの収集が可能であり、リモートで修復アクションを実行できます」と指摘しています。
EPPは、既知の脅威、または既知の方法で動作する脅威の防止に焦点を当てています。 もう1つのエンドポイント・セキュリティー・ソリューションは、EDR(Endpoint Detection and Response)と呼ばれ、予防的なエンドポイント・セキュリティー・ツールをすり抜けた脅威に対応できます。
EDRソリューションは、各デバイスに入るファイルやアプリケーションを継続的にモニターし、マルウェア、ランサムウェア、高度な脅威を示す疑わしいアクティビティーや悪意のあるアクティビティーを追跡します。 また、EDRは、詳細なセキュリティー・データとテレメトリーを継続的に収集し、データレイクに保存します。これを使用して、リアルタイム分析、根本原因の調査、脅威の追跡などを行うことができます。
通常、EDRには高度な分析、行動分析、人工知能(AI)と機械学習、自動化機能、インテリジェント・アラート、調査および修復の機能が含まれており、セキュリティー・チームは以下のことを行うことができます。
- 侵害の指標(IOC)やその他のエンドポイント・セキュリティー・データを脅威インテリジェンス・フィードと関連付けて、高度な脅威をリアルタイムで検出する
- 疑わしいアクティビティーや実際の脅威に関する通知を、根本原因の特定と脅威調査の迅速化に役立つコンテキスト・データとともにリアルタイムで受信する
- 静的分析(悪意または感染が疑われるコードの分析)または動的分析(疑いのあるコードを分離した状態で実行)を行う
- エンドポイント動作のしきい値と、しきい値を超えた場合のアラートを設定する
- 個々のデバイスの切断と隔離、プロセスのブロックなどの対応を自動化し、脅威が解決されるまでの被害を軽減する
- 他のエンドポイント・デバイスが同じサイバー攻撃の影響を受けているかどうかを確認する
新しい、あるいはより高度なEPPの多くにはEDR機能が含まれていますが、予防と対応を含む完全なエンドポイント保護のためには、ほとんどの企業がその両方のテクノロジーを採用する必要があります。
Extended Detection and Response(XDR)は、EDRの脅威検出および対応モデルをインフラストラクチャーのすべての領域またはレイヤーに拡張し、エンドポイント・デバイスだけでなく、アプリケーション、データベースとストレージ、ネットワーク、クラウド・ワークロードも保護します。 XDRは、Software-as-a-Service(SaaS)サービスであり、オンプレミスとクラウドのリソースを保護します。 一部のXDRプラットフォームでは、単一のベンダーまたはクラウド・サービス・プロバイダーのセキュリティー製品が統合されていますが、最も優れているのは、組織が必要とするセキュリティー・ソリューションを追加して統合することもできるプラットフォームです。