エンドポイントセキュリティとは

エンドポイントセキュリティ、またはエンドポイント保護は、デスクトップ、ラップトップ、モバイルデバイスなどのエンドポイントを悪意のあるアクティビティから保護するための、サイバーセキュリティアプローチです。

Gartnerによると、エンドポイント保護プラットフォーム（EPP）とは、「ファイルベースのマルウェア攻撃の防止、悪意のあるアクティビティの検知、動的なセキュリティインシデントやアラートへの対応に必要な調査および修復の機能の提供」のために使用されるソリューションです。

エンドポイントとは

エンドポイントは、ファイアウォールの外側から企業ネットワークに接続するデバイスです。エンドポイントデバイスの例として、次のものがあります。

• ラップトップ
• タブレット
• モバイルデバイス
• モノのインターネット（IoT）デバイス
• POSシステム
• スイッチ
• デジタルプリンター
• 中央ネットワークと通信するその他のデバイス

エンドポイントセキュリティが重要な理由

エンドポイントセキュリティ戦略が不可欠なのは、すべてのリモートエンドポイントが攻撃のエントリポイントになる可能性があり、パンデミック関連のリモートワークへの急速な移行とともにエンドポイントの数はますます増加しているためです。Gallupの世論調査によると、米国の労働者の過半数が2020年にリモートで働いていましたが、2021年4月でも51%がまだリモートで働いていました。エンドポイントとその機密データによってもたらされるリスクは、永遠の課題です。

エンドポイントの状況は絶えず変化しており、あらゆる規模の企業がサイバー攻撃の格好の標的となっています。これは中小企業の間でも常識となっています。2020年にConnectWiseが実施した調査によると、調査対象の700人の中小企業意思決定者の77%が、今後6か月以内に攻撃の標的になるのではないかと懸念しています。

FBIのInternet Crime Report（インターネット犯罪レポート）によると、昨年は2019年と比べて苦情が30万件増加し、42億ドルを超える損失があった報告されています。また、Verizon 2021 Data Breach Investigations Report（Verizon 2021年データ侵害調査レポート） によると、「インシデントに関連するWebアプリやメールサービスが蔓延し、サーバーが依然としてそれらの資産の大半を占めています。そして、（現在はユーザーのデバイスを越えて）ソーシャル攻撃が人々を危険にさらし続けているため、詐欺やスパイ活動に使用されるマルウェアを配信するフィッシングメールやWebサイトが大幅に増加し始めています」。

Ponemonの「Cost of a Data Breach Report 2020（データ侵害のコストに関するレポート2020）」（IBMが委託）によると、各データ侵害のコストは世界では平均386万ドル、米国ではデータ侵害あたり平均865万ドルです。この調査では、侵害の最大の財務的影響は「ビジネスの損失」であり、データ侵害の平均コストのほぼ40%を占めることがわかりました。

エンドポイント攻撃からの保護は、人間と機械が交差する場所にエンドポイントが存在するため、困難なものとなっています。企業は、従業員の正当な活動を妨げることなくシステムを保護することに苦心しています。また、技術的なソリューションは非常に効果的ですが、従業員がソーシャルエンジニアリング攻撃に巻き込まれる可能性を軽減できても、完全に防止することはできません。

エンドポイント保護の仕組み

エンドポイント保護、エンドポイント保護プラットフォーム（EPP）、エンドポイントセキュリティという用語はすべて、組織がサーバー、ワークステーション、モバイルデバイス、ワークロードなどのエンドポイントをサイバーセキュリティの脅威から保護するために活用する、一元管理されたセキュリティソリューションを説明するために、同じ意味で使用されます。エンドポイント保護ソリューションは、ファイル、プロセス、およびシステムアクティビティを調べて、そこに疑わしさや悪意の兆候がないか探します。

エンドポイント保護ソリューションは、管理者がエンタープライズネットワークに接続するための一元化された管理コンソールを提供します。これを使用して、インシデントに関連した監視、保護、調査、対応を実行できます。これは、オンプレミス、ハイブリッド、クラウドのいずれかのアプローチを活用して実現されます。

「従来型」または「レガシー」なアプローチは、通常、セキュリティの提供元としてローカルでホストされているデータセンターに依存するオンプレミスのセキュリティポスチャを表すために使用されます。データセンターは、管理コンソールがエージェントを介してエンドポイントに到達し、セキュリティを提供するためのハブとして機能します。ハブアンドスポークモデルでは、通常、管理者は境界内のエンドポイントの管理しか行えないため、セキュリティサイロが発生する可能性があります。

パンデミックによる在宅勤務シフトにより、多くの組織は、デスクトップデバイスの代わりに、ラップトップと持ち込みの個人所有デバイス（BYOD）に移行しました。このことは、労働力のグローバル化にともなって、オンプレミスアプローチに限界が生じていることを浮き彫りにしています。一部のエンドポイント保護ソリューションベンダーは、近年、「ハイブリッド」アプローチに移行してきました。これは、レガシーアーキテクチャ設計を採用し、クラウド用に改造してクラウド機能の一部を取り込んだものです。

クラウドに組み込まれた「クラウドネイティブ」ソリューションが3番目のアプローチです。管理者は、クラウド上に存在する一元管理コンソールを介して、エンドポイントをリモートで監視および管理し、エンドポイント上のエージェントを通じてデバイスにリモートで接続することができます。エージェントは、エンドポイントにセキュリティを提供するために、連携して動作することも、インターネットに接続されていない場合には独立して動作することもできます。これらのソリューションは、クラウド制御とポリシーを活用して、従来の境界を超えてセキュリティパフォーマンスを最大化し、サイロ化を解消して、管理者が到達できる範囲を拡大します。

エンドポイント保護ソフトウェアとウイルス対策ソフトウェアの比較

エンドポイントセキュリティソフトウェアは、エンドポイントが物理か仮想か、オンプレミスかオフプレミスか、データセンター内かクラウド内かに関係なく、エンドポイントを侵害から保護します。これはラップトップ、デスクトップ、サーバー、仮想マシン、およびリモートエンドポイント自体にインストールされます。

ウイルス対策は、多くの場合、エンドポイントセキュリティソリューションの一部であり、一般的にエンドポイント保護のより基本的な形態の1つと見なされています。ウイルス対策は、脅威ハンティングやエンドポイントでの検知と対応（EDR）などの高度な手法とプラクティスを使用するのではなく、既知のウイルスやその他のタイプのマルウェアを検知して削除するだけの役割を果たします。従来のウイルス対策はバックグラウンドで実行され、ウイルスシグネチャのデータベースに一致するパターンがないかデバイスのコンテンツを定期的にスキャンします。ウイルス対策は、ファイアウォールの内外の個々のデバイスにインストールされます。

エンドポイント保護ソリューションのコア機能

継続的な侵害防止を提供するエンドポイントセキュリティツールでは、次の基本的な要素が統合されている必要があります。

1. 防止：NGAV

従来のウイルス対策ソリューションは、すべての攻撃の半分未満しか検知しません。これらは、悪意のあるシグネチャつまりコードのビットをデータベースと比較することによって機能します。データベースは、新しいマルウェアシグネチャが識別されるたびにコントリビュータによって更新されます。問題は、まだ識別されていないマルウェア、つまり未知のマルウェアは、データベースに登録されていないことです。マルウェアが世界に放たれてから、従来のウイルス対策ソリューションによって識別できるようになるまでには、時間的なギャップがあります。

次世代アンチウイルス（NGAV）は、AIや機械学習などのより高度なエンドポイント保護テクノロジーを使用し、ファイルハッシュ、URL、IPアドレスなどのより多くの要素を調べて新しいマルウェアを特定し、そのギャップをなくします。

2. 検知：EDR

防止だけでは不十分です。完璧な防御というものはなく、攻撃の一部は常に防御を突破し、首尾良くネットワークに侵入します。従来のセキュリティでは、これがいつ起きたかを確認できず、攻撃者は数日、数週間、または数か月間、環境内に自由に滞在できます。企業は、攻撃者を迅速に見つけて排除することにより、これらの「サイレント障害」を阻止する必要があります。

サイレント障害を防ぐために、エンドポイントでの検知と対応（EDR）ソリューションは、エンドポイントで起こっていることをリアルタイムで継続的かつ包括的に可視化する必要があります。企業は、インシデントデータの検索と調査、アラートのトリアージ、疑わしいアクティビティの検証、脅威ハンティング、悪意のあるアクティビティの検知と封じ込めなど、高度な脅威の検知、調査、対応の機能を提供するソリューションを探す必要があります。

3. マネージド脅威ハンティング

すべての攻撃を自動化だけで検知できるわけではありません。セキュリティ専門家の専門知識は、今日の巧妙な攻撃を検知するために不可欠です。

マネージド脅威ハンティングは、すでに発生したインシデントから学習し、クラウドソーシングされたデータを集約して、悪意のあるアクティビティが検知された場合の最善の対応方法に関するガイダンスを提供するエリートチームによって実施されます。

4. 脅威インテリジェンスの統合

攻撃者に先んじるためには、企業は進化する脅威を理解する必要があります。巧妙な攻撃者や持続的標的型攻撃（APT攻撃）は、迅速かつ密かに行動することができるので、セキュリティチームは防御が自動的かつ正確に調整されるようにするための、最新で正確なインテリジェンスを必要としています。

脅威インテリジェンス統合ソリューションには、数時間ではなく数分ですべてのインシデントを調査し、知識を得るための自動化を組み込む必要があります。将来の攻撃に対するプロアクティブな防御を可能にするため、エンドポイントから直接、カスタマイズされた侵害の痕跡（IoC）を生成する必要があります。また、さまざまな状況で新たな脅威を理解できる、専門のセキュリティ研究者、脅威アナリスト、文化専門家、言語学者で構成される人的要素も必要です。

クラウドベースアーキテクチャの重要性

1. 単一の軽量エージェント

エンドポイントの保護は複雑ですが、そのソリューションが複雑になってはいけません。エンドポイントのパフォーマンスにほとんど影響を与えず、即座に展開でき、迅速にスケーリングできる単一の軽量エージェントが、最適なアプローチです。

2. 機械学習

ソリューションには、新しい攻撃を記録して学習する、機械学習機能を組み込む必要があります。この機能により、攻撃手法に関するインテリジェンスを大規模かつリアルタイムでクラウドソーシングできます。

3. 管理性の向上

クラウドベースのエンドポイントセキュリティは、さまざまな方法で管理オーバーヘッドを削減します。たとえば、従来のソリューションのアップグレードプロセスはベンダーのスケジュールによって異なり、1年という長い期間となることもあります。

その1年の間も、攻撃者は技術を進化させ続けているため、アップグレードが顧客のシステムに実装される頃には、すでに時代遅れになっています。クラウドネイティブプラットフォームはリアルタイムで更新され、そのアルゴリズムは常に調整されます。常に最新バージョンを使用しています。

4. ネットワーク内外での保護

リモートワーカー、仮想化、クラウドが関係する場合、資産が常に企業ネットワークに直接接続されているとは限りません。そのため、完全なエンドポイントソリューションにとっては、デバイスがネットワーク外やオフラインの場合でも脅威を検知できることが、これまで以上に重要になっています。ネットワーク上のデバイスとネットワーク外のデバイスを完全に可視化しなければ、防御にはいくつもの盲点ができ、敵がレーダーの下をかいくぐる可能性は非常に高くなります。

クラウドストライクのクラウドベースのアーキテクチャは、リソースを大量に消費するネットワークやホストのスキャンを必要とせずに、エンドポイントの脆弱性を常に可視化します。ネットワークの内外、プレミスの内外、またはクラウドのいずれであっても、軽量のFalconセンサーはエンドポイントでのデータ処理と意思決定をサポートします。ローカルホストで機械学習を使用することにより、エージェントは既知および未知のマルウェア、ゼロデイエクスプロイト、ハッシュブロッキングからの保護を提供できます。

5. 敵を監視する

今日の攻撃者は資金が豊富で、能率重視です。防御を回避する方法を見つけ出すために、従来のエンドポイントセキュリティソリューションを購入し、模擬環境にインストールしています。

しかし、クラウドベースのアーキテクチャ上に構築されたソリューションに対しては、同じことは行えません。ソリューションのエンドポイントセンサーを取得してインストールしたとしても、システムを破壊しようとする試みはソリューションプロバイダによって監視されるからです。形勢は逆転します。攻撃者がソリューションの仕組みを理解する代わりに、防御側は攻撃者の考え方を学びます。

クラウドストライクの高度なエンドポイント保護

組織は、迅速かつ継続的な検知、防止、対応を求めています。そのためには、すべてのエンドポイントにわたっての、遮るもののない可視性、巧妙な攻撃のリアルタイム防止、執拗な攻撃者による環境侵害およびデータの窃盗をブロックする機能が必要です。

クラウドストライクは、エンドポイントセキュリティに対する新しいアプローチを提供します。従来のセキュリティやネットワークセキュリティソリューションとは異なり、クラウドストライクのエンドポイントセキュリティソリューションは、真の次世代アンチウイルスとエンドポイントでの検知と対応（EDR）、マネージド脅威ハンティング、脅威インテリジェンスの自動化など、首尾よく侵害を阻止するために必要なテクノロジーを統合し、単一の軽量エージェントを介して提供しています。Falcon Enterpriseには、次のモジュールが含まれています。

• クラウドストライクのNGAVソリューションであるFalcon Prevent™は、マルウェアの既知のサンプルと未知のサンプルの両方を検知する評価において検知率100%で、誤検知率は0%でした。Falcon Preventは、Gartner、Forrester、およびその他の業界アナリストが指摘しているように、業界初の「NGAV承認」エンドポイントソリューションです。
• Falcon Insight™ EDRは、エンドポイントへの攻撃を防止および検知するために、イベント情報をリアルタイムで収集して検査します。クラウドストライクのクラウドネイティブアーキテクチャ上に構築されたFalcon Insightは、より詳細な検査のために、関係するすべてのアクティビティをオンザフライおよび事象後の両方で記録します。これにより、セキュリティチームは標準的な防御措置を回避するインシデントを迅速に調査して、インシデントに対応できます。
• CrowdStrike® Falcon OverWatch™™チームは、自動化を超えたレベルへと検知を強化します。業界で最も経験豊富なチームの1つと、週に6兆件以上のイベントを処理するデータベースであるCrowdStrike Threat Graph™により、Falcon OverWatchは年間30,000件以上の侵害の試みを特定して阻止しています。脅威が発見されると、「OverWatch」チームは数秒以内に対策を講じることができます。
• クラウドストライクのCrowdStrike Falcon® Intelligenceプラットフォームは、脅威インテリジェンスとエンドポイント保護を統合することで、予測型セキュリティを実現します。あらゆる規模の企業に適したCrowdStrike Falcon® Intelligenceは、組織のエンドポイントに到達する脅威を即座に分析する機能を提供します。CROWDSTRIKE FALCON® INTELLIGENCEにより、組織はついに攻撃者の活動に先手を打ち、そして先手を打ち続けるための能力を手に入れました。