クラウドサービスの普及で、社内ネットワークだけでなく社外のインターネットにもつなぐ機会が増えた昨今。PCやサーバーなどのエンドポイントセキュリティは、組織全体の情報システムを守るために欠かせません。
この記事では、EPPやEDRなどエンドポイントセキュリティ製品の概念や違いを中心にご説明し、導入のポイントも合わせてご紹介します。
エンドポイントセキュリティとは
ICTの分野において「エンドポイント」とは、ネットワークに接続されているPCやスマートフォン・タブレットなどのモバイル端末、サーバーなどを指します。エンドポイントセキュリティは、それらのエンドポイントを保護するセキュリティ対策です。
エンドポイントセキュリティが提唱されるようになった背景には、昨今のサイバー攻撃により、境界型セキュリティでは対応困難になってきたという経緯があります。かつてセキュリティ対策は、組織の外部と内部を分け、外部からのアクセスに関して対策を行う境界型セキュリティが主流でした。
しかし現在では、クラウドサービスの利用やテレワークの普及により、組織の外部でデータのやり取りが行われています。このため、明確に境界を定義できないケースがあるのです。また外部に持ち出したUSBメモリの紛失や、マルウェアが仕込まれたUSBメモリをPCに接続して感染が広がるなど、組織内部に起因する事故もあります。そこで社内ネットワークだけでなく、エンドポイントも保護することが重要となってきました。
エンドポイントセキュリティは「情報端末そのものを守る」点で、社内外を問わないセキュリティ対策の1つとして機能します。
エンドポイントセキュリティについて、より詳しい内容は下記をご参照ください。
エンドポイントセキュリティ製品の違い
エンドポイントセキュリティ製品には、いくつかの種類があります。
EPP/AV
EPP(Endpoint Protection Platform)は、PCやサーバーを保護し、マルウェアの感染を防いだり、不正なプログラムの実行を防いだりするセキュリティ対策です。AV(アンチウイルスソフトウェア)と同じ意味を持ち、場合によっては企業向けをEPP、個人向けをAVと使い分けられることがあります。
EPPの主な機能は、マルウェアの特徴的なパターンや行動を記録している「パターンファイル(シグネチャ)」によって、既知のマルウェアを検出することです。また不審な動作を検知する「振る舞い検知」機能を有するものもあり、振る舞い検知によって未知のマルウェアを見つけることも可能となります。
EPPは、低コストでマルウェアの防御を実現したいときに検討の余地があるセキュリティ対策です。
NGAV
NGAV(Next Generation Anti-Virus:次世代アンチウイルス)は、既知・未知問わずマルウェアからの脅威に対処できるソフトウェアです。AIや機械学習、行動分析、サンドボックスなどの手法を使用して、検知の精度を高めています。
NGAVは、未知のマルウェアからリアルタイムで防御したい場合に検討の余地があるセキュリティ対策です。
EDR
EDR(Endpoint Detection and Response)は、PCやサーバーの通信を監視し、サイバー攻撃を発見次第管理者へ通知して、迅速な対応を支援するものです。EPPやNGAVとは異なり、マルウェアの侵入を防ぐものではなく、マルウェアの感染による被害を最小限に抑えるためのものです。
エンドポイントセキュリティ製品導入後の課題
エンドポイントセキュリティ製品は、導入して 終わりというわけではありません。以下のような運用上の課題もあるため、それらを意識する必要があります。
- 誤検知(過検知・過剰検知)への対応が必要
各機能を導入してセキュリティを強化すると、防御力が向上します。しかしその一方で、マルウェアでないファイルでもマルウェアと判断してしまう「誤検知(過検知・過剰検知)」が増加する点がデメリットです。導入時には誤検知が起こらないよう設定を行いますが、運用にともない製品がアップデートされたり通信量が多くなったりすると、誤検知が起こりがちです。したがって、検知の設定を変更していく対応が必要になります。 - 大量のアラートに対応できる体制が必要
特にEDR製品においては、一般的にログが多くなります。このため、EDR製品が出力したログを適切に見極めることが必要です。
アラートに対しては、専門的な知見のある人が適切に判断しなければなりません。また原因特定や事後の再発防止策の立案というように、有事の際の対処と改善が行える体制が求められます。
エンドポイントセキュリティ製品を選ぶ際の注意点
エンドポイントセキュリティ製品を選ぶ際には、考慮したい3つのポイントがあります。
自社環境に対応しているか
利用するPCやサーバーのOSに対応しているか、既存システムとの互換性があるかは大きなポイントです。また運用形態も、オンプレミスかクラウドかで異なります。
検知・レスポンス機能の精度
マルウェアの検知の精度や、自動応答などの機能の確認もできる限り行っておきたいところです。情報として、検知方法の詳細までは公開されていない製品もありますが、「MITRE ATT&CK評価」という第三者機関によるセキュリティ製品の評価をチェックすることで、検知性能をある程度見定めることが可能です。
またログの保管期間も製品によって異なるため、確認しておきましょう。
製品導入後の運用負担
エンドポイントセキュリティ製品導入後に自社内での運用が可能か、運用担当者に負荷がかからないかを事前に確認しておく必要があります。自社内での運用が難しければ、外部ベンダーのサポートを受ける方法もひとつの手です。アウトソーシングの例としては、EDRのアラートを解析、対処を行うマネージドセキュリティサービスがあります。
JBサービスがおすすめするエンドポイントセキュリティ製品の比較
エンドポイントセキュリティ製品のうち、代表的なものを比較してみました。以下の表にまとめましたので、ご確認ください。
| FFRI yarai | Defender for Endpoint | Cortex XDR | FortiEDR | |
|---|---|---|---|---|
| 製品カテゴリー | NGAV | EDR | NGAV+EDR | EDR |
| 特徴 |
|
|
|
|
| Windows OS | 〇 | 〇 | 〇 | 〇 |
| macOS | × | 〇 | 〇 | 〇 |
| Linux | × | △※1 | 〇 | 〇 |
| オフライン端末の対応 | 〇 | × | 〇 | 〇 |
※1:Microsoft Defender for Cloudなど前提条件あり
※2:エクスプロイト攻撃:OSやソフトウェアなどの脆弱性を突いて不正な動作を行う攻撃や、その攻撃プログラム
JBサービスがエンドポイントセキュリティ製品の導入・運用代行をサポート
JBサービスでは、エンドポイントセキュリティ製品の導入サポートや運用代行を実施しています。24時間365日体制の運用監視センターSMACを運営しており、認定ホワイトハッカーを中心としたセキュリティ専門家チームが、初動対応から監視・運用までご支援します。
エンドポイントセキュリティ製品・サービスの詳細や費用、導入のご相談やお困りごとなど、ぜひお気軽にJBサービスへお問い合わせください。
