エンドポイント セキュリティの重要な課題

接続性の向上が求められる中、現代の企業はリモートワークを促進するための技術的能力を高めることに成功しています。仕事をより柔軟にすることは多くのメリットをもたらしますが、一方でデメリットもあります。

IT運用を拡大してリモート機能を実現すると、必然的に攻撃対象が拡大します。従業員は、メールの返信や文書の確認に個人のデバイスを使用することが多く、会社のデバイスを個人的な目的で使用することもあります。従業員が自分のペースで仕事ができるようになると、生産性が向上する一方で、サイバーセキュリティのリスクも高まります。

従業員が自分のネットワークに接続して仕事をすると、知らず知らずのうちに、企業ネットワークに備わっているセキュリティ機能の多くを回避してしまいます。さらに、従業員が使用するデバイスの数だけ、企業ネットワークのエンドポイントが増えることになります。個人所有のデバイスの多くはセキュリティが低く、サイバー犯罪者にとっては夢のような状態です。

ここでは、エンドポイント セキュリティに最新のアプローチを採用して、企業の全体的なセキュリティ態勢を強化する方法を見ていきましょう。

エンドポイントセキュリティの重要な課題

エンドポイントとは、企業ネットワークに接続するあらゆるデバイスのことで、以下が含まれます。

• ノートパソコン
• スマートフォン
• タブレット
• プリンター
• ネットワーク機器（ルーター、スイッチ)

現代の企業が直面しているエンドポイント セキュリティの最大の課題の1つは、従業員が所有するデバイスです。従来、企業はBYOD（Bring Your Own Device）ポリシーを策定し、従業員が個人所有のデバイスを業務で使用するかしないかを管理していました。しかし、リモートワークや接続性の向上により、このようなポリシーはもはや維持できなくなっています。

従業員のデバイスが引き起こすいくつかの重要な課題を理解することで、企業はデバイスに関連するリスクを軽減することができます。それでは、早速見ていきましょう。

データ損失

従業員が自分のデバイスを使用すると、企業は従業員が自社のクラウドリソースをどのように利用するかを管理できなくなります。例えば、従業員が自分のデバイスを使って、クラウドアプリケーションから機密文書をダウンロードしたとします。高度なエンドポイント セキュリティがなければ、組織はその情報がどうなるかわからなくなります。

組織が機密データの流れを管理・監視できない場合、新たなリスクが発生します。例えば、従業員のデバイスにスパイウェアが入っていた場合、文書が傍受され、データ漏洩につながる可能性があります。また、組織がその文書の共有方法に細心の注意を払わなければ、従業員が誤ってデータを漏らしたり、不適切に使用したりする可能性があります。

リモートワーク

COVID-19パンデミックの余波を受けて、セキュリティリスクがあってもリモートワークは継続されるでしょう。実際、80％のCEOが、少なくともたまには従業員にリモートワークをさせようと考えています。その理由は簡単で、従業員がリモートワークを好むことと、組織のコスト削減につながるからです。しかし、エンドポイント セキュリティの観点からは、いくつかのリスクが伴います。

従業員が自宅で仕事をしていても、「どこからでも」仕事をしていても、彼らのデバイスは、企業ネットワークの強固なセキュリティ管理がなされていない公共および個人の無線ネットワークに接続している可能性が高いのです。つまり、脅威となる人物は、データや認証情報を盗むために中間者攻撃を行うだけでよいのです。エンドポイント セキュリティがなければ、従業員が近所のカフェに行っただけで、莫大な金銭的損失を被ることになります。

モバイルデバイス

企業が従業員にモバイルデバイスの使用を許可するかどうかに関わらず、モバイルデバイスは今後も存在し続けます。悪意のある者はこのことを熟知しており、現在では想像できるすべてのモバイルデバイス用に設計された幅広い種類のマルウェアが存在しています。残念ながら、多くのネットワーク セキュリティ ソリューションは、このようなリスクの拡大を考慮していません。

多くの従業員が毎日モバイルデバイスを使用しているため、自分のデバイスがマルウェアに感染するリスクが高くなっています。感染したデバイスが組織のネットワーク上のリソースに接続すると、悪意のある者は、機密データやリソースに不正にアクセスするための明確な経路を持つことになります。そこから、ランサムウェアなどのより高度な攻撃で大惨事を引き起こすことになります。

サードパーティ製アプリケーション

企業は本来、従業員の個人所有のデバイス上のアプリケーションをほとんど管理できません。残念なことに、サードパーティ製のアプリケーションは、巨大な攻撃経路となっています。例えば、多数のモバイル懐中電灯アプリケーションにはマルウェアが含まれていることが判明しており、従業員の個人用ノートPCにダウンロードされたフリーソフトウェアには、悪意のあるアプリケーションが大量に含まれている可能性があります。

従業員が個人所有のデバイスにインストールするものを組織が管理できたとしても、そのアプリケーションには、組織が軽減できないリスクが伴う可能性があります。例えば、アプリケーションに新たな脆弱性が発見された場合、セキュリティパッチの更新が必要になることがあります。組織がデバイスを管理できない場合、ユーザーが更新プログラムをインストールしたことを確認する方法がありません。

全体的な可視性

リスクの可視化は、企業が直面するエンドポイント セキュリティの重要な問題です。特にリモートでネットワークに接続している場合は、すべてのエンドポイントが新たな攻撃対象となります。リスクを軽減するためには、すべてのエンドポイントがどこにあるのかを把握する必要があり、そのためには企業ネットワークに接続するすべてのものを完全に可視化する必要があります。すべてのエンドポイントを可視化し、コントロールすることができなければ、組織のサイバーリスクは高まります。

エンドポイント セキュリティ ソリューションによるリスクの軽減

今日の従業員の分散化に伴い、企業はネットワーク セキュリティに対する新しいアプローチを必要としています。幸いなことに、いくつかのソリューションが役に立っています。ニーズに応じて、エンドポイント検出と対応（EDR）ソリューション、マネージド検出と対応（MDR）サービス、拡張された検知と対応（XDR）プラットフォームのいずれかを採用することができます。どのソリューションを選択しても、いくつかの重要な利点があります。

サイバー攻撃の検知

この3つのソリューションはいずれも、サイバー攻撃を検知し、それを潰すための最初のステップとなります。ソリューションを探す際に、脅威検知を測る重要な指標となるのが平均検出時間(Mean Time To Detect：MTTD）です。MTTDとは、組織がネットワークやシステム上の異常な活動を特定するまでにかかる平均時間のことです。エンドポイント セキュリティの監視がなければ、サイバーリスクはより長く検知されないままとなります。

応答時間の短縮

サイバーセキュリティプログラムを測定するためのもう一つの主要なパフォーマンス指標は、平均修復時間(Mean Time To Respond： MTTR）です。これは、リスクを検知してから、対応を開始し、最終的にセキュリティ問題を修復するための調査プロセスを完了するまでの平均時間です。MTTRが短ければ短いほど、脅威となる人物が組織のシステムやネットワークに滞在できる時間は短くなります。この「滞留時間」を短縮することで、組織はインシデントがもたらす負の影響を制限することができます。

サイバー攻撃の防止

組織は、直面しているリスクについて、より良い洞察を必要としています。エンドポイント セキュリティツールが異常な動作を検出すると、サイバーセキュリティチームはアラートを調査し、どこにセキュリティギャップがあるのかを理解し、弱点を修正して、悪意のある行為者が将来的に機密情報に不正アクセスするのを防ぐことができます。

予防のためには、管理または自動化されたソリューションを使用することが望ましいことは注目に値します。基本的なEDRは、サイバーセキュリティチームに問題を警告しますが、問題を解決することはほとんどできません。これでは、脅威に対して消極的な考え方をしてしまう可能性があります。むしろ、サードパーティや自動化されたプロセスが脅威の阻止を支援することで、チームはよりプロアクティブになることができます

EDR、MDR、DXR - どのソリューションが貴社に適しているか？

エンドポイント セキュリティ ソリューションは、同じようなメリットを提供しますが、そのメリットをどのように提供するかは、企業が選択するプラットフォームによって大きく異なります。現在の市場では、基本的なエンドポイント検出と対応（EDR）ツール、マネージド検出と対応（MDR）サービス、拡張された検出と対応（XDR）プラットフォームの3つの主要な選択肢があります。

エンドポイント検出と対応（EDR）ツール

基本的なEDRツールは、認識したエンドポイントからの脅威情報を収集・分析することでネットワークを継続的に監視し、セキュリティ侵害を示す異常な動作を探し、影響を軽減するための迅速な対応を可能にします。しかし、EDRツールにはいくつかの欠点があります。サイバーセキュリティチームの時間を奪い、社内チームの知識と可用性によって制限されます。

マネージド検出と対応（MDR）サービス

MDRのサービスを利用することで、企業はサイバーセキュリティの監視・検知・対応活動を外部に委託し、セキュリティスキルを持った正社員を雇用することなく、セキュリティを強化することができます。多くの企業にとって、MDRは、拡大するネットワークのセキュリティを確保するために必要なエンドポイントセキュリティを提供すると同時に、常に存在するサイバーセキュリティのスキルギャップを克服します。

拡張された検出と対応（XDR）プラットフォーム

XDRプラットフォームは、単一のプラットフォームで統一されたセキュリティを提供し、エンドポイントやネットワーク全体の脅威を検知し、対応します。XDRは、接続されているすべてのセキュリティレイヤーのデータを自動的に収集・相関させ、マルウェアが潜む可能性のあるデータサイロを解消します。

最終的にXDRは、ネットワーク監視とエンドポイント監視を組み合わせることで、アクティブに管理されているエンドポイントだけでなく、ネットワーク上のすべてのデバイスを明確に把握することができるため、エンドポイントセキュリティを管理するためのより強固なアプローチを提供します。脅威が検出された場合は、自動化されたプロセスによってセキュリティチームに警告が出され、直ちに脅威の除去が開始されます。