次世代の社内ネットワークを守るエンドポイントセキュリティとは？

近年、ネットワークの「終点（endpoint）」を守る「エンドポイントセキュリティ」の重要性が高まっています。しかし、これまでのセキュリティと何が違うのでしょうか。

今回は、セキュリティにおいてエンドポイントが注目されるようになってきた背景から、ネットワークを守るために今後必要となる考え方と施策までを説明していきます。セキュリティを強化し、さまざまな脅威からネットワークを守るための参考にしてください。

エンドポイントセキュリティはなぜ重要？

端的にいえば、ネットワークにおけるエンドポイントとは、おもに「端末」のことです。まずは、端末にセキュリティを施すことが重要な理由を理解しましょう。

情報が出入りする場所だから

端末は、ユーザーがネットワーク内のざまざまな情報に触れる場所です。例えば、Webサーバーにアクセスして情報を得るときには、端末内のブラウザを使用します。端末上で作成した新しいファイルを、ネットワーク内のファイルサーバーに追加することもあるでしょう。

悪意のあるハッカーから見れば、端末はネットワークの「入り口」にあたります。そのため、マルウェア（ウイルスなどの悪意のあるソフトウェア）の侵入経路として特に狙われやすい場所です。

一方、端末は情報の「出口」でもあります。個人情報や機密事項は、端末から流出することがあると考えましょう。たとえ悪意がなくても、外部に出してはならない情報が不注意によって漏れてしまうケースもあります。

エンドポイントが多様化してきたから

多くの企業がテレワークを採用したことで、自宅のパソコンから会社にアクセスするケースが増えました。セキュリティ担当者から見れば、なかなか頭の痛い状況といえるでしょう。これまで社内で守られていたエンドポイントが、管理のおよばない場所に移動したからです。

さらに、クラウドサービスの普及が複雑さに拍車をかけています。例えばクラウドストレージを利用している場合は、自宅のパソコンからも社内のパソコンからも同じファイルにアクセス可能です。業務を進めるうえでは便利なものですが、これらのファイルは、いつウイルスに感染してもおかしくありません。

ウイルスによる脅威を食い止めるには、それぞれのエンドポイントに対策を施すのが合理的だといえます。

エンドポイントセキュリティと従来のセキュリティとの違い

エンドポイントの多様化に対処するため、エンドポイントセキュリティは「ゼロトラスト」という考え方に基づいています。ここでは、ゼロトラストが従来の考え方とどのように違うのかをみていきましょう。

ネットワークの「境界」を守る従来の考え方と限界

従来のセキュリティでは、ネットワークの内側は「安全」とみなす考え方が主流でした。ネットワーク境界にファイアウォールが設置されているためです。

しかし、エンドポイントが多様化した現在、ネットワークの境界はすっかり不明瞭なものになりました。例えば、テレワーク用のパソコンは境界の内側と外側、どちらにあるのでしょうか。管理が徹底された会社所有のパソコンのみを使用し、VPN接続しか行なわないのであれば、内側にあると考えても安全かもしれません。しかし端末のウイルス感染や、自宅のWi-Fiが傍受されるリスクなどを想定すれば、外側にあると考えるべきでしょう。

さらに、社内外でクラウドサービスが利用されるケースも加味する必要があります。それぞれの端末が安全圏にあるのかどうかを個別に判断しようとする考え方は、あまりに複雑です。

状況をシンプルにする「ゼロトラスト」の考え方

セキュリティに複雑な考え方を持ち込むのは、あまり得策とはいえません。問題をシンプルにとらえ、「安全な場所はない」と考えるのが現実的でしょう。

ゼロトラストは、ネットワークの内側は安全だとみなすのをやめ、どのエンドポイントも「信頼（trust）しない」ことを基本とする考え方です。ネットワークにおけるすべてのエンドポイントは、常にセキュリティ上の脅威にさらされているものとみなします。どの端末も特別扱いせずに対策を施すことで、ネットワークを守るのです。

ゼロトラストについては、こちらの記事でも詳しく説明しているので参考にしてください。
クラウドセキュリティ対策に欠かせないゼロトラストセキュリティ！リスクと対策方法を解説

エンドポイントセキュリティにおける2つのアプローチ

エンドポイントセキュリティには、「EPP」と「EDR」という2つの主要なアプローチがあります。これらは互いに補完し合うものであり、組み合わせることが重要です。それぞれ、どのような施策なのかを説明します。

EPP（Endpoint Protection Platform）でマルウェアをブロックする

「EPP」は、エンドポイントでマルウェアを動作させないためのアプローチです。代表例としては、家庭用のパソコンにも用いられるアンチウイルスソフトが挙げられます。

近年ではAIなどを用いた高度なEPPも登場していますが、ベースとなる考え方はそれほど複雑ではありません。まず、既知のマルウェアを識別するための情報をデータベース化しておきます。そのうえで外部から入ってきたファイルをスキャンし、パターンマッチングにより脅威を検知するというのが基本的な動作です。実際にウイルスなどがみつかった場合は、動作前に隔離することで無力化します。

EPPが有効にはたらくかどうかは、データベースの内容にかかっていることがわかるでしょう。データベースをこまめに「更新」して、常に最新の状態に保つ運用が重要だといえます。

EDR（Endpoint Detection and Response）で被害の拡大を食い止める

「EDR」は、マルウェアによる被害を最小限に抑えるためのアプローチです。エンドポイントがウイルスなどに感染してしまった際に、不審な挙動を検知して速やかに対処することを可能にします。

「マルウェアの侵入は完全には防げない」というのが、EDRの基本的な考え方です。例えば未知のウイルスのような、まだデータベースに追加されていない新しいタイプのマルウェアは、EPPのみで検知できる可能性は高くありません。そのため、EPPの防衛ラインをすり抜けて動作を許してしまったマルウェアについても、事前に対策しておく必要があります。このようなマルウェアの動作を検知して停止させ、脅威の拡大を防ぐのがEDRです。

さらにセキュリティを強化するには

セキュリティに完璧はありません。エンドポイントにセキュリティを施したからといって安心せず、ほかの施策と組み合わせることも大切です。ここでは、ネットワーク全体のセキュリティをさらに強化する方法について紹介します。

パケット監視と組み合わせる

エンドポイントのセキュリティを突破したマルウェアは、ネットワーク内のほかの機器にもアクセスしようとします。このような活動を阻止するには、不審なパケットがネットワークを流れていないかどうか監視するのが効果的です。

通常、ネットワーク内にはルーターなどの集約点が存在します。ここを通過しようとするパケットを常時監視すれば、マルウェアの活動を早期に発見し対策することが可能になるでしょう。

なお、ネットワークのセキュリティを強化する手法は、ほかにもあります。マルウェアにはさまざまなタイプがあるため、複数の手法を組み合わせた総合的な対策がおすすめです。詳しくはこちらでも説明しているので、ぜひ参考にしてください。
ネットワークセキュリティとは？企業のセキュリティ対策として重要な施策の仕組みと種類

シャドーITに対策する

「シャドーIT」とは、管理がおよばないところで導入されているITのことです。

例えば、開発チームの独自判断により、クラウド上にソフトウェアが構築されるケースがあるかもしれません。より単純な例を挙げれば、ファイルを移動するために社内のネットワーク機器で個人所有のUSBメモリが使用されるのもシャドーITの一種です。これらは見えないエンドポイントを生む行為であり、セキュリティ上のリスクとなります。

リスクを減らすには、シャドーITをなくす対策が必要です。しかし、そもそも「こっそり」行なわれている行為をルールで禁止するのは簡単ではありません。必要に応じて外部からのITの持ち込みを許可し、これまで見えなかったリスクを可視化して管理下におくほうが現実的でしょう。

なお、シャドーITについては、こちらの記事も併せてご覧ください。
シャドーITとは何か？セキュリティリスクがある理由と防止策について紹介

エンドポイントの見直しからネットワークセキュリティのアップグレードを

ネットワークの内側を安全とみなす従来のセキュリティは、今や限界を迎えました。ゼロトラストの考え方に基づいて、ネットワークのエンドポイントで脅威を迎え撃つ必要があります。そのためには、EPPとEDRの2つのアプローチを組み合わせた対策が有効です。

一方、エンドポイントを突破されてしまった場合への備えも欠かせません。エンドポイントの見直しをきっかけとして、ネットワーク全体のセキュリティ強化についても検討してみてはいかがでしょうか。