エンドポイントセキュリティとは?導入の重要性や種類の違いを解説|サイバーセキュリティ.com

エンドポイントセキュリティとは?導入の重要性や種類の違いを解説



テレワーク、クラウドサービス、スマートフォン、IoT機器など利用機器の発展や働き方の変化が昨今は目まぐるしい時代です。会社の内外でインターネットを利用する機会も非常に増えました。それにともない、セキュリティ対策の課題も可視化されつつあります。中でも注目されているのが、エンドポイントセキュリティです。

この記事では、エンドポイントセキュリティの役割や種類、従来のセキュリティ製品との違いを解説します。ゼロトラストモデルの実現に向け、今後さらに必要性が増すエンドポイントセキュリティについて知りたい方はぜひご覧ください。

エンドポイントセキュリティとは

エンドポイントセキュリティとは、PCやサーバー、タブレット、スマートフォンなど末端機器のセキュリティ対策を指します。サイバー攻撃やマルウェア感染といった脅威から、エンドポイントを保護することが目的です。保護対象はエンドポイント自体だけでなく、エンドポイントに保存された情報も含まれます。

これまで一般的な企業は、アンチウイルス製品やファイアウォールを使ってセキュリティ対策を施してきました。しかし、サイバー攻撃の巧妙化やエンドポイント環境の変化により、従来の対策のみの対処は困難になっています。そこで注目を集めているのが、エンドポイントセキュリティです。

エンドポイントセキュリティが重要な理由

エンドポイントセキュリティ対策は、なぜ必要とされるのでしょうか。具体的な理由を以下4つに分けて解説します。

  1. エンドポイントは攻撃の入口であり活動場所
  2. エンドポイントから情報へアクセスできる
  3. サイバー攻撃の進化
  4. テレワークやクラウドサービスの増加

順番に見ていきましょう。

1. エンドポイントは攻撃の入口であり活動場所

エンドポイントは、ユーザーが最も操作する機会のある端末です。外部ネットワークへの接続時やユーザーの誤操作によって、攻撃を許してしまう可能性があります。そのため、攻撃者に狙われやすく、不正アクセスやマルウェアの入口となるわけです。

さらに、侵入したマルウェアが動き始める場所もエンドポイントです。侵入・不正なプログラムの実行・感染といったマルウェアの行動全般は、エンドポイント内でおこなわれます。エンドポイントを直接監視すれば、マルウェアが動き始めた時点の検知が可能です。

2. エンドポイントから情報へアクセスできる

エンドポイントがサイバー攻撃によって乗っ取られると、企業の情報へと不正アクセスされます。不正アクセスされてしまえば、顧客の個人情報や企業の機密情報の流出・破損を招くでしょう。悪質な場合、情報を人質にして身代金を要求する「ランサムウェア」の被害に遭う恐れも。企業の情報が集約するエンドポイントの保護は、重要なセキュリティ対策と言えます。

3. サイバー攻撃の巧妙化

サイバー攻撃の巧妙化も、エンドポイントセキュリティが求められる一因です。数あるサイバー攻撃の中で、従来の対策では対処できないのが標的型攻撃です。

標的型高攻撃は、特定の企業・組織に狙いを定め、入念な下調べをしてから攻撃を仕掛けます。ターゲットのウイルス対策ソフトに検知されない新種のマルウェアを作られれば、簡単に攻撃を許してしまうでしょう。

また、インターネットを使わない攻撃に対しても、従来のゲートウェイ型のセキュリティ対策は無防備です。ゲートウェイ型のセキュリティ対策は、ネットワークの境界を監視します。インターネットを使わない攻撃は検知できないため、USBメモリを介したマルウェア感染を防げません。

4. テレワークやクラウドサービスの増加

テレワークやクラウドサービスの増加も、エンドポイントセキュリティの重要性を高めています。かつては社内のネットワークにエンドポイント(端末)があったため、ゲートウェイ型のセキュリティ対策で充分でした。

しかし、エンドポイントが社外から社内ネットワーク、あるいは直接インターネットに接続する環境ではゲートウェイ監視は意味がありません。エンドポイントごとに、直接監視する必要があるわけです。

エンドポイントセキュリティの役割

エンドポイントセキュリティは、製品の種類や機能によって役割が異なります。代表的な機能は、以下の通りです。

  • エンドポイントの不審な挙動の検知・隔離・対処
  • ゼロデイ攻撃を検知するリアルタイムな機械学習
  • データの暗号化
  • Webサイトのフィルタリング
  • スパムメール対策
  • セキュリティインシデント時のリモート調査・復旧

上記のように、エンドポイントセキュリティは脅威の発見から対処、セキュリティインシデント発生後の対応まで広くカバーします。各機能を持つエンドポイントセキュリティの種類については、次の章で詳しくお話します。

エンドポイントセキュリティの種類と仕組み

エンドポイントセキュリティは、役割によって次の4種類に分けられます。

  1. AV/EPP
  2. NGAV/NGEPP
  3. EDR
  4. DLP

各種類の役割と仕組みを解説していきます。

AV/EPP

AV(Antivirus)・EPP(Endpoint Protection Platform)とは、従来型のエンドポイントセキュリティ製品です。一般的には、「ウイルス対策ソフトウェア」として知られています。

AV/EPPのマルウェア検知方法は、パターンマッチング方式です。パターンマッチング方式とは、データベースに登録されたマルウェアと一致するプログラムを検出する方法を意味します。既知のマルウェアを確実に防げる一方で、未知のマルウェアには対処できません。

NGAV/NGEPP

NGAV(Next Generation Antivirus)・NGEPP(Next Generation Endpoint Protection Platform)とは、次世代のAV/EPPです。AV/EPPの「新種のマルウェアを検出できない」弱点を、AIや振る舞い検知によって克服しています。

振る舞い検知とは、プログラムの動作を監視し、マルウェアと疑わしき動きを見せたものを検知する方法です。振る舞い検知を使ったNGAV/NGEPPは、データベース情報に依存せずに新種のマルウェア検知が可能になりました。

EDR

EDR(Endpoint Detection and Response)とは、エンドポイントの動作を常時監視し、不審な挙動を検知するソフトウェアです。EDRは常にエンドポイントのログを取得しているため、通知を受けた管理者は迅速にログを解析し、すばやく対策を実施できます。

EDRは「サイバー攻撃の未然防止が目的のEPPやNGAV/NGEPP」を補完する存在と言えます。EDRはマルウェアの侵入を前提として設計されており、サイバー攻撃の被害を最小限に抑えることが目的だからです。日頃からのログ取得により、素早い原因特定と対処を可能にしています。

DLP

DLP(Data Loss Prevention)とは、情報漏えい防止に特化したセキュリティシステムです。エンドポイントの挙動ではなく、重要なデータそのものを監視して流出・破損を防ぎます。

従来の情報漏えい対策では、ログインID・パスワードや権限設定によるユーザー主体の管理方法が一般的です。しかし、ユーザー主体の方法では、正規ユーザーによる内部不正は防げません。

対するDLPは、データそのものを監視します。正規ユーザーの操作であっても、重要データの不正コピーや編集は出来ない仕組みです。不正な操作を検知すると、リアルタイムに管理者へ通知されます。強固に情報を保護したい場合に、DLPは非常に効果的です。

エンドポイントセキュリティの比較表

ここまで紹介したエンドポイントセキュリティ4種類の特徴を、以下の比較表にまとめました。

AV/EPP NGAV/NGEPP EDR DLP
役割 データベースに登録されたマルウェアを検知する 振る舞い検知でマルウェアを検知する エンドポイントを常時監視し、サイバー攻撃の対応を支援する 情報漏えいに特化し、データそのものを監視する
メリット 既知のマルウェアを確実に防げる 既知・未知どちらのマルウェアを検知できる サイバー攻撃の被害を最小限に抑えられる ユーザーの行動に依存せず、内部不正も防げる
注意点 未知のマルウェアを防げない 検知をすり抜けたマルウェアの対処はできない マルウェア侵入防止が目的ではない 重要データの設定と定期的な見直しが必要
ニーズ 従来の仕組みであり、新規導入には向いていない マルウェアの侵入を未然防止したい 現在のマルウェアの未然防止対策に加え、マルウェア侵入後にも備えたい 数多くの機密情報を扱っており、強固に管理したい

エンドポイントセキュリティとゲートウェイ型セキュリティシステムの違い

従来のセキュリティ対策と言えば、ゲートウェイ型セキュリティシステムとAV/EPP型のウイルス対策ソフトの併用が一般的でした。ここでは、エンドポイントセキュリティとゲートウェイ型のセキュリティシステムの違いを3つに分けて紹介します。

  1. 監視対象
  2. システムの役割
  3. 保護方法

各項目ごとに違いを説明します。

1. 監視対象

ゲートウェイ型セキュリティシステムの監視対象は、ネットワークの境界です。社内ネットワークの内部と外部(インターネット)の出入り口を監視し、不正な侵入を防いでいます。

対するエンドポイントセキュリティの監視対象は、エンドポイントとネットワーク全体です。エンドポイントの所在にかかわらず、社内ネットワークの外にある端末も統括して監視します。

2. システムの役割

ゲートウェイ型セキュリティシステムの役割は、ネットワークへの不正侵入を防ぐことでした。エンドポイントセキュリティは、端末そのものと保存されたデータの保護を目的としています。

テレワーク増加や社外持ち出しデバイスの多様化により、エンドポイント自体が社内ネットワークの外にあることが増えました。ネットワーク外に端末がある場合、ゲートウェイ型セキュリティシステムでは保護できません。

3. 保護方法

ゲートウェイ型セキュリティシステムは、ネットワークの境界に監視システムを設置します。例として、ファイアウォールやIDS/IPS(不正侵入検知防御システム)などのセキュリティシステムが挙げられます。

対するエンドポイントセキュリティの保護方法は、以下をご覧ください。

  • 振る舞い検知によるウイルスの検知・除去
  • 侵入したマルウェアの隔離
  • 情報漏えいに備えたデータの暗号化
  • スパムメールのブロック
  • 常時ログを取得し、セキュリティインシデントの原因究明・対処を支援

エンドポイントセキュリティは、多様な方法で端末とデータを保護します。ネットワークの防御だけでは、社内ネットワークに不正侵入されたら対処できません。エンドポイントセキュリティによる、不正侵入に備えた直接的な保護が重要と言えます。

エンドポイントセキュリティ導入時の注意点

エンドポイントセキュリティを導入する際は、次の2点に注意しましょう。

  1. NGAV/NGEPPとEDRを組み合わせる
  2. 性能と検知率

なぜ注意した方が良いのか、詳しく説明します。

1. NGAV/NGEPPとEDRを組み合わせる

エンドポイントセキュリティは、NGAV/NGEPPとEDRの併用がおすすめです。NGAV/NGEPPはサイバー攻撃の未然対策を、EDRはサイバー攻撃を受けた後の対処をおこないます。

それぞれ役割が違うため、組み合わせて使用すれば一層セキュリティ強度を高められます。NGAV/NGEPPで防ぎきれない攻撃を、EDRでカバーすると考えましょう。また、より強固に情報を保護したいのであれば、データを直接監視するDLPの導入も検討してみてください。

2. 性能と検知率

エンドポイントセキュリティには、さまざまなサービスがあります。同じ種類であっても、性能や検知率には差があるため、より優れたものを選びましょう。検知率は、ベンダーの資料や公式HPを確認してみてください。

性能が良くない製品は、スキャン中に端末の動作が重くなる場合があります。業務効率が落ちるばかりか、ユーザーによって稼働停止される恐れもあるでしょう。動作が軽く、各エンドポイントのソフトウェアを一元管理できるサービスがおすすめです。

エンドポイントセキュリティの個人向けと法人向けの違い

エンドポイントセキュリティには、個人向けと法人向けの製品があります。個人向けと法人向けは単純な価格だけでなく、以下2つの違いも挙げられます。

  1. ライセンスの一元管理
  2. 購入単位

異なる点を、具体的に解説します。

1. ライセンスの一元管理

個人向け製品のライセンス更新は、各端末ごとにおこなう必要があります。一方、法人向け製品は複数台にインストールされたライセンスの一元管理が可能です。ライセンスの期限や設定の確認・更新、ソフトウェアのアップデートを一括で実行できます。

小規模な事業所であっても、個人向け製品を導入すると更新管理に多くの手間がかかります。PCやスマートフォンが増えるたびに、新たに設定しなくてはいけません。端末ごとにセキュリティ設定が異なる恐れもあるため、事業の規模にかかわらず法人向けを導入したほうが良いでしょう。

2. 購入単位

個人向け製品の購入は、1年単位が一般的です。対する法人向け製品は、1ヶ月単位で購入できます。社員の異動や入社によるPCやスマートフォンの台数変動に、柔軟に対応できます。

個人向け製品を事業で使用すると、1年単位の先払いであるため使わなくなったライセンスに対して費用が発生します。新たに導入する場合、端末ごとに更新時期が異なるといったデメリットも生じるでしょう。社員の変動に合わせたライセンスの変更をしたいのであれば、法人向け製品が適しています。

よくある質問

最後に、エンドポイントセキュリティに関する5つの質問にお答えします。

  1. エンドポイントの暗号化とは?
  2. エンドポイントセキュリティとEDRとの違いは?
  3. ゼロトラストとは?エンドポイントセキュリティとの関係は?
  4. テレワーク時のセキュリティ対策は?
  5. EDR製品のシェア1位は?

1問ずつ回答します。

Q1.エンドポイントの暗号化とは?

A.端末の紛失・盗難に備え、HDDやUSBメモリを暗号化する対策を指します。

最も強力な暗号化は、OS領域を含めHDD内を全て暗号化する「ハードディスク暗号化」です。他にも、OS領域以外を暗号化するドライブ単位、ファイル・フォルダ単位の暗号化などがあります。エンドポイント暗号化は、データ暗号化ソフトウェアで実施できます。

Q2.エンドポイントセキュリティとEDRとの違いは?

A.EDRは、エンドポイントセキュリティの1種類です。

エンドポイントセキュリティは、PCやスマートフォン、サーバーなどの端末と端末内のデータを保護するシステム全般を意味します。EDRは、サイバー攻撃を受けた後の対処を重視するエンドポイントセキュリティです。サイバー攻撃の未然防止を目的としていないため、導入する際はNGAV/NGEPPとの併用をおすすめします。

Q3.ゼロトラストとは?エンドポイントセキュリティとの関係は?

A.ゼロトラストは、「何も信頼しない」セキュリティ対策モデルです。

従来のセキュリティ対策には、社内ネットワークを「信頼できる領域」、社外ネットワーク(インターネット)を「信頼できない領域」と分ける考えが前提にありました。しかし、昨今のクラウドサービスやテレワークの浸透により、守るべき情報が「信頼できない領域」にある状態が増えています。

そこで登場した考え方が、全ての領域を信頼しないゼロトラストです。ゼロトラストモデルを実現するためには、端末を監視し保護するエンドポイントセキュリティが重要になります。中でも、サイバー攻撃の検知と素早い対処が可能なEDRが効果的です。

Q4.テレワーク時のセキュリティ対策は?

A.エンドポイントセキュリティであるNGAV/NGEPPとEDRを導入しましょう。

テレワーク時の端末は、社内ネットワークで利用するときよりもサイバー攻撃に遭うリスクが高いです。社内ネットワークにある端末は、ゲートウェイ型のセキュリティシステムにより保護されています。ですが、テレワークの際は保護されていません。各端末にエンドポイントセキュリティを導入して、端末ごとに対策することをおすすめします。

Q5.EDR製品のシェア1位は?

A.2021年度のEDR市場シェア1位製品は、サイバーリーズン・ジャパン株式会社の「Cybereason」シリーズです。

富士キメラ総研の「2021 ネットワークセキュリティビジネス調査総覧 市場編」にて、3年連続1位になったと発表しています。「Cybereason」はEDRだけでなく、NGAVも単一エージェントで提供しています。「どの製品を使えばいいかわからない」とお悩みの方は、まずはシェア1位の製品から試してみてはいかがでしょうか。

参照富士キメラ総研の調査レポートにおいて、国内EDR市場で3年連続シェアNo.1を獲得」PRTIMES

まとめ

エンドポイントセキュリティは、進化を続けるサイバー攻撃に対して有効な防御手段です。エンドポイントの環境も変化しており、社内ネットワークの境界を守るだけでは対処しきれません。テレワークやクラウドサービス、IoT機器を利用する以上、端末ごとのセキュリティ対策が求められます。エンドポイントセキュリティを導入する際は、旧来のAV/EPP製品ではなく、NGAV/NGEPPやEDR製品を選びましょう。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。