X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >
< Back to EPP 101

エンドポイントセキュリティについて

3月 26, 2020

エンドポイントセキュリティの定義

エンドポイントセキュリティ、またはエンドポイント保護は、ネットワーク上のデスクトップ、ラップトップ、モバイルデバイスなどを悪意のある行為、活動から保護するためのプロセスです。 エンドポイントセキュリティは、多数のエンドポイントの存在、地理的にあらゆる地域に分散して存在、利用帯域幅などに関わらず、リアルタイムで効果を発揮する必要があるという点で、従来のセキュリティ対策の考え方を超えた異なるアプローチが必要です。

エンドポイントの種類


エンドポイントとは、企業ネットワークに接続するあらゆるデバイスのことです。次のようなリモートデバイスが該当します。

  • ラップトップ
  • タブレット
  • モバイルデバイス
  • IoTデバイス
  • POSシステム
  • スイッチ
  • デジタルプリンタ
  • ネットワーク通信しているその他のデバイス

エンドポイントセキュリティとアンチウイルスの違い

エンドポイントセキュリティはエンドポイントデバイスを侵害から守ります。物理的デバイスか仮想デバイスか、オンプレミスかオフプレミスか、データセンター内かクラウド上かは問いません。ノートパソコン、デスクトップ、サーバー、仮想マシン、およびリモートデバイス自体にインストールされます。

アンチウイルスはエンドポイントセキュリティに分類され、一般にエンドポイント保護の基本的なコンポーネントの1つと見なされています。 脅威ハンティングやエンドポイントでの検知と対応(EDR)などの様な、高度な技術や方法を使用するのではなく、単に既知のウイルスやその他のタイプのマルウェアを見つけて削除します。従来のアンチウイルスはバックグラウンドで実行され、定期的にデバイスのコンテンツをスキャンして、ウイルスシグネチャのデータベースに一致するパターンを探します。アンチウイルスはファイアウォール内外の個々のデバイスにインストールされます。

なぜエンドポイントセキュリティが重要なのか

すべてのリモートデバイスは攻撃の侵入口になる可能性があり、エンドポイントの数はリモートワーカーとIoTデバイスの増加に伴い増える一方です。現在、労働者の70%以上が携帯電話を使用しており、毎日毎秒127を超えるデバイスがインターネットに追加されています。エンドポイントで生じるリスクはなくなることのない課題です。

エンドポイントの状況は常に変化しており、あらゆる規模の企業がエンドポイント攻撃の格好の標的となっています。これは小規模企業の中でも常識となっており、ベライゾンのMobile Security Index 2019によると、従業員数が500人以下の企業の88%が、モバイルデバイスからのリスクは現在深刻であり、今後はさらに悪化するとみています。

昨年のエンドポイントへの攻撃は侵害全体の半数を占めており、前年より42%増加しています。POSシステム、決済端末、ATMは特に格好の標的で、確認された全データ侵害のおよそ20%を占めています

increasing number of endpoints graphic

各攻撃によって生じる費用は平均712万ドルあるいはエンドポイント1台当たり440ドルです。一部は修復にかかる費用ですが、ほとんどが業務の中断と生産性の低下によるものです。Enterprise Strategy Group社のアンケートに回答したITおよびセキュリティ専門家の32%が、侵害されたエンドポイントの最大の影響は「基本的な事業活動の中断」と認識しており、ほぼ同じ割合の人が、最大の懸念として「ナレッジワーカー(知識労働者)の生産性の妨害」を挙げています。

サイバー犯罪者はチャンスを見逃さず、いつでも自らの戦術、手法、手順(TTP)を順応させる準備ができています。

たとえば去年は、エンドポイントデバイスに対するウェブアプリケーションを利用した(またはドライブバイマルウェア)攻撃が最も一般的な攻撃で、攻撃全体のほぼ20%を占めていました。このタイプの攻撃は、認証情報の盗用はしません。その代わり、攻撃者はウェブサイト上に悪質なコードを置き、ユーザーを罠ページに誘導します。ユーザーがそのページにアクセスすると、ユーザーがリンクをクリックもせずダウンロードに同意もしていないのに悪質なファイルがダウンロードされます。このタイプの攻撃のほぼ10%が成功します

エンドポイントは人間と機器が交わるところに存在するため、エンドポイントに対する攻撃からの保護は困難となります。企業は、社員の通常業務を妨げる事なくシステムを保護するのに苦労しています。技術的なソリューションは非常に効果的であり、社員がソーシャルエンジニアリング攻撃に屈する可能性を軽減できますが、完全に防ぐことはできません。

2020年 CROWDSTRIKE グローバル脅威レポート

ひCrowdStrikeグローバル脅威レポートをダウンロードください 攻撃者グループの進化し続ける戦術、手法、手順の傾向を明らかにし、今後組織を保護するための実用的な推奨事項も提供しています。

Download Now

エンドポイントセキュリティソリューションの中心的要素

セキュリティ侵害を継続的に防御する効果的なエンドポイントセキュリティプラットフォームには、次のような基本的要素が取り入れられている必要があります。

1.防御:NGAV

従来のアンチウイルスソリューションで検知できるのは、全攻撃の半数以下です。これらソリューションは、悪意のあるシグネチャやコードのビットをデータベースと比較する、という仕組みになっており、このデータベースは新たにマルウェアが特定されるたびに更新されます。問題は、まだマルウェアと特定されていないもの、未知のマルウェアはデータベースにない、ということです。あるマルウェアが世に出る時期と、従来のアンチウイルスソリューションがそれを特定できるようになるまでの時間にはギャップがあります。

Falcon Prevent for NGAV Graphic

次世代アンチウイルス(NGAV)は、AIや機械学習などの高度なテクノロジーを使用して、このギャップを埋め、ファイルハッシュ、URL、IPアドレスなど、より多くの要素をチェックし新たなマルウェアを特定します。

2.検知:EDR

防御だけでは十分とは言えません。完璧な防御は存在しませんし、防御をすり抜けてネットワークへの侵入に成功する攻撃は常に存在します。従来のセキュリティでは、いつ侵入されたのか確認できないため、攻撃者は数日、数週間、あるいは数か月の間、自由に環境内に留まることができます。企業は、迅速に攻撃者を検知して排除し、この気付かないうちにセキュリティ侵害に遭っている状態「サイレント障害」を阻止する必要があります。

.検知 EDR

サイレント障害を予防するには、エンドポイントでの検知と対応(EDR)ソリューションによって継続的で包括的な可視性を獲得し、エンドポイントで起きていることをリアルタイムで把握する必要があります。組織は、インシデントデータの検索と調査、アラートのトリアージ、疑わしいアクティビティの検証、脅威ハンティング、悪質なアクティビティの検知と封じ込めなど、脅威に対する高度な検知、調査、対応機能を提供するソリューションを探す必要があります。

3.マネージド脅威ハンティング

残念ながら自動化だけではすべての攻撃を検知することはできません。今日の巧妙な攻撃を検知するには、セキュリティ専門家の専門知識が不可欠です。

マネージド脅威ハンティング

マネージド脅威ハンティングは、すでに発生したインシデントから学習し、クラウドソーシングによるデータを集約し、悪意のあるアクティビティを検知したときの最善の対応について指示を出します。これはエキスパートによって実施されるべきです。

4.脅威インテリジェンスとの統合

攻撃者の先を行くには、企業は脅威の進化に合わせて脅威を理解する必要があります。巧妙な攻撃者グループや標的型攻撃(APT攻撃)はすばやく密かに活動するため、セキュリティチームは最新の正確なインテリジェンスを利用して、防御を的確に自動的に行えるようにしなければなりません。

脅威インテリジェンスとの統合

脅威インテリジェンスとの統合では、そのソリューションは、すべてのインシデントを調査し、数時間ではなく数分で知識を得ることができる自動化を組み込む必要があります。また、エンドポイントから直接、カスタムIoC(侵害の痕跡)情報を生成して、今後の攻撃に対するプロアクティブな防御を可能にする必要があります。セキュリティの専門家、脅威アナリスト、文化に関する専門家、言語学者など、多様な状況で出現する脅威を解明できる人的要素も不可欠です。

クラウドベースアーキテクチャの重要性

クラウドベースアーキテクチャの重要性

1.単一の軽量エージェント

エンドポイントセキュリティは複雑です。しかしソリューションはシンプルであるべきです。アプローチとして最適なのは、エンドポイントのパフォーマンスにほとんど影響を与えずに、即座に導入しすばやく拡張できる単一の軽量エージェントです。

2.機械学習

単一の軽量エージェント

ソリューションには、新たな攻撃を記録し、そこから学習する能力のある機械学習を取り入れるべきです。この機能により、攻撃手法に関するインテリジェンスを大規模かつリアルタイムでクラウドソーシングすることが可能になります。

3.管理のしやすさ

クラウドベースのエンドポイントセキュリティは、さまざまな点で管理のオーバーヘッドを削減します。たとえば、従来のソリューションではアップグレードプロセスがベンダーのスケジュールに左右され、1年間もの長期にわたって行われることもあります。
その1年の間にも攻撃者は手法を進化させ続けているため、お客様のシステムのアップグレードが完了される頃には、それはすでに古くなっています。クラウドベースのプラットフォームは、リアルタイムで更新され、アルゴリズムも常時調整されます。つまり、使用中のバージョンが常に最新バージョンとなります。

4.ネットワーク接続中も接続していなくとも保護

リモートワーカー、仮想化環境、クラウド環境などは、資産が常に企業ネットワークに直接接続されているとは限りません。そのため、デバイスがネットワークに接続されていない場合やオフラインの場合でも、完全なエンドポイントソリューションで脅威を検知できることが、これまで以上に重要になっています。ネットワークに繋がっていても繋がっていなくてもデバイスに対する完全な可視性がなければ、防御は盲点だらけになり、攻撃者がその目をかいくぐって行動できる多くの機会が生じてしまいます。

CrowdStrikeのクラウドベースのアーキテクチャは、リソースを大量に消費するネットワークやホストのスキャンを必要とせずに、エンドポイントの脆弱性を常に可視化します。 ネットワークに接続されているかオフラインか、オンプレミスかオフプレミスか、クラウド環境内かにかかわらず、軽量なFalconセンサーはエンドポイントでのデータ処理と意思決定をサポートします。 エージェントはローカルホスト上で機械学習を使用して、既知のマルウェアやゼロデイエクスプロイト、ハッシュブロッキングから保護します

5.攻撃者の監視

今日の攻撃者は潤沢な資金を持ち、能率的です。彼らは従来型のエンドポイントセキュリティソリューションを購入し、環境にインストールし、このソリューションの防御をすり抜ける方法を解明します。

ところが、クラウドベースのアーキテクチャに構築されたソリューションでは同じ方法は使えません。攻撃者がソリューションのエンドポイントセンサーを入手してインストールしたとしても、彼らのシステムを破壊しようという試みは、ソリューションプロバイダによってクラウドから監視されているからです。形勢は逆転し、攻撃者がソリューションの仕組みを解明するのではなく、防御者が攻撃者の考え方を知ることにつながります。

現在直面している脅威に対するエンドポイントセキュリティ

組織はすばやく継続的な検知、防御、対応を求めています。それには、すべてのエンドポイントに対して遮るもののない可視性と、巧妙な攻撃をリアルタイムで防御し、しつこい攻撃者が環境に侵入してデータを盗むのを阻止できることが不可欠です。

CrowdStrikeはエンドポイントセキュリティに新しいアプローチを提案します。従来のセキュリティソリューションとは違い、CrowdStrikeのFalcon Endpoint Protection Enterpriseには、侵害の阻止を成功させるのに必要なテクノロジーが統合されており、真の次世代アンチウイルスおよびエンドポイントでの検知と対応(EDR)やマネージド脅威ハンティング、脅威インテリジェンスの自動化などが含まれています。これらは、単一の軽量エージェントを介して提供されます。Falcon Enterpriseには次のモジュールが含まれています。

  • Falcon Prevent™(CrowdStrikeの次世代アンチウイルス-NGAVソリューション):, 既知と未知のサンプルのマルウェアの検知率は100%、誤検知率は0%となっています。Falcon Preventは、Gartner社やForrester社、その他の業界アナリストが述べているように、業界で初めて「NGAVとして承認された」エンドポイントソリューションです。
  • Falcon Insight™ EDR: リアルタイムでイベント情報を収集および調査し、エンドポイントへの攻撃を検知し防御します。CrowdStrikeのクラウドネイティブアーキテクチャ上に構築されたFalcon Insightは、エンドポイント上の重要なアクティビティをすべて記録し、詳しく調査できるようにしています。セキュリティチームはこれを活用して、標準的な予防策をすり抜けたインシデントをすばやく調査し、対応することができます。
  • CrowdStrike Falcon Overwatch™チーム: 技術による検知をすり抜けた脅威をエキスパートの目で確認し、組織全体の検知を向上させます。CrowdStrike Threat Graph™(毎週3兆件を超えるイベントを処理するデータベース:2020年3月現在)をもとに、Falcon Overwatchは年間3万件を超える侵害の企てを特定し、阻止しています。脅威が見つかると、Overwatchチームは数秒以内に措置を講じることができます。
  • CrowdStrike’s Falcon X: 脅威インテリジェンスとエンドポイント保護を統合することで、予測に基づくセキュリティを実現します。あらゆる規模の企業に適応するFalcon Xには、組織のエンドポイントに到達するどのような脅威でも即座に分析できる機能があります。Falcon Xによって、組織は最終的に攻撃者グループの活動よりも先に防御を行うことができるようになります。

CrowdStrikeのFalconプラットフォームが実際に動作しているところは、CrowdStrikeエンドポイント保護プラットフォームのオンデマンドデモをご覧ください。

今すぐ見る