エンドポイントセキュリティとは

エンドポイントセキュリティ、またはエンドポイント保護は、デスクトップ、ラップトップ、モバイルデバイスなどのエンドポイントを悪意のあるアクティビティから保護するためのサイバーセキュリティアプローチです。

エンドポイント保護プラットフォーム (EPP) とは、ファイルベースのマルウェア攻撃やその他の悪意のあるアクティビティなどセキュリティに対する脅威を検知して防御するために使用されるソリューションです。また、動的なセキュリティインシデントやアラートへの対応に必要な調査と修復の機能も備えています。

エンドポイントとは

エンドポイントは、ファイアウォールの外側から企業ネットワークに接続するデバイスです。エンドポイントデバイスの例として、次のものがあります。

• ラップトップ
• タブレット
• モバイルデバイス
• IoTデバイス
• POSシステム
• スイッチ
• デジタルプリンター
• 中央ネットワークと通信するその他のデバイス

エンドポイントセキュリティの重要性

エンドポイントセキュリティ戦略が不可欠なのは、すべてのリモートエンドポイントが攻撃のエントリポイントになる可能性があり、リモートワークへの急速な移行とともにエンドポイントの数がますます増加しているためです。2023年のForbesの記事によると、米国の労働者の12.7%がリモートワークに従事し、28.2%がこれまでにハイブリッドの働き方を採用しています。今でもほとんどの労働者がオフィスに出勤していますが、米国では2025年までにリモートワーカーの数が3,260万人に増えると予測されています。米国の労働者の22%に相当する規模です。エンドポイントとその機密データによってもたらされるリスクは、永遠の課題です。

エンドポイントの状況は絶えず変化しており、あらゆる規模の企業がサイバー攻撃の格好の標的となっています。これは中小企業の間でも常識となっています。ITRC 2023 Business Impactレポートによると、中小企業 (SMB) の経営者の73%が2022年または2023年にサイバー攻撃を受けたことがあると報告しています。FBIのInternet Crime Reportによると、2022年に合計800,944件の苦情がFBIに寄せられ、報告された損失の総額は 103億ドルを超えました。クラウドストライクの2023年版グローバル脅威レポートによると、このところソーシャルエンジニアリング攻撃が急増し、200人を超える攻撃者がクラウドストライクの追跡を受けました。

IBMの「Cost of a Data Breach Report 2024（2024年データ侵害のコストに関する調査）」によると、データ侵害のコストは平均445万ドルで、この3年で15%増えています。この調査では、侵害の最大の財務的影響は「ビジネスの損失」であり、データ侵害の平均コストのほぼ40%を占めることがわかりました。

エンドポイント攻撃からの保護は、人間と機械が交差する場所にエンドポイントが存在するため、困難なものとなっています。企業は、従業員の正当な活動を妨げることなくシステムを保護することに苦心しています。また、技術的なソリューションは非常に効果的ですが、従業員がソーシャルエンジニアリング攻撃に巻き込まれる可能性を軽減できても、完全に防御することはできません。

エンドポイント保護の仕組み

エンドポイント保護、エンドポイント保護プラットフォーム、エンドポイントセキュリティという用語はすべて、組織がサーバー、ワークステーション、モバイルデバイス、ワークロードなどのエンドポイントをサイバーセキュリティの脅威から保護するために活用する、一元管理されたセキュリティソリューションを説明するために、同じ意味で使用されます。エンドポイント保護ソリューションは、ファイル、プロセス、およびシステムアクティビティを調べて、そこに疑わしさや悪意の兆候がないか探します。

エンドポイント保護ソリューションは、管理者がエンタープライズネットワークに接続するための一元化された管理コンソールを提供します。これを使用して、インシデントに関連したモニタリング、保護、調査、対応を実行できます。これは、オンプレミス、クラウド、ハイブリッドのいずれかのアプローチを活用して実現されます。

「従来型」または「レガシー」のアプローチは通常、セキュリティの提供元としてローカルでホストされているデータセンターに依存するオンプレミスのセキュリティポスチャを表すために使用されます。データセンターは、管理コンソールがエージェントを介してエンドポイントに到達し、セキュリティを提供するためのハブとして機能します。ハブアンドスポークモデルでは通常、管理者は境界内のエンドポイントの管理しか行えないため、セキュリティサイロが発生する可能性があります。

パンデミックによるリモートワークシフトにより、多くの組織はデスクトップデバイスの代わりにラップトップと持ち込みの個人所有デバイス (BYOD) に移行しました。このことは、労働力のグローバル化に伴って、オンプレミスアプローチに限界が生じていることを浮き彫りにしています。一部のエンドポイント保護ソリューションベンダーは、このところ「ハイブリッド」アプローチへと移行しています。これは、レガシーアーキテクチャ設計を採用し、クラウド用に改造してクラウド機能の一部を取り込んだものです。

クラウドに組み込まれた「クラウドネイティブ」ソリューションが3番目のアプローチです。管理者は、クラウド上に存在する一元管理可能なコンソールを介して、エンドポイントをリモートからモニタリングおよび管理し、エンドポイント上のエージェントを通じてデバイスにリモートで接続できます。エージェントは、エンドポイントにセキュリティを提供するために管理コンソールと連携して動作することも、インターネットに接続されていない場合には独立して動作することもできます。これらのソリューションは、クラウド制御とポリシーを活用して、従来の境界を越えてセキュリティパフォーマンスを最大化し、サイロ化を解消して、管理者が到達できる範囲を拡大します。

エンドポイントセキュリティの利点

エンドポイントセキュリティの主な利点は次のとおりです。

1. エンドポイント保護：デジタル変革によってリモートワークに従事する従業員が増えることに伴い、侵害を防御するためにはすべてのエンドポイントを保護することが必要不可欠になってきました。
2. アイデンティティ保護：アイデンティティ保護は、エンドポイントセキュリティの重要な利点です。承認されたユーザーにのみ適切なタイプのアクセスを許可することで、従業員とその他のステークホルダーの機密データを保護できるからです。
3. 脅威検知と対応：巧妙なサイバー攻撃を仕掛けて組織に侵害しようとする攻撃者の数が増える中、潜在する脅威をすばやく検知できれば、修復プロセスにかかる時間を短縮し、データの保護を維持できるようになります。

エンドポイント保護ソフトウェアとアンチウイルスソフトウェアの比較

エンドポイントセキュリティソフトウェアは、エンドポイントが物理か仮想か、オンプレミスかオフプレミスか、データセンター内かクラウド内かに関係なく、エンドポイントを侵害から保護します。これはラップトップ、デスクトップ、サーバー、仮想マシン、リモートエンドポイント自体にインストールされます。

アンチウイルスは、多くの場合、エンドポイントセキュリティソリューションの一部であり、一般的にエンドポイント保護のより基本的な形態の1つと見なされています。脅威ハンティングやエンドポイント検知・対応(EDR) などの高度な手法とプラクティスを使用するのではなく、既知のウイルスやその他のタイプのマルウェアを検知して削除するだけの役割を果たします。従来のアンチウイルスはバックグラウンドで実行され、ウイルスシグネチャのデータベースに一致するパターンがないかデバイスのコンテンツを定期的にスキャンします。アンチウイルスは、ファイアウォールの内外の個々のデバイスにインストールされます。

エンドポイント保護ソリューションの主要機能

継続的な侵害防御を提供するエンドポイントセキュリティツールでは、次の基本的な要素が統合されている必要があります。

1. 防止：NGAV

従来のアンチウイルスソリューションは、すべての攻撃の半分未満しか検知しません。これらは、悪意のあるシグネチャつまりコードのビットをデータベースと比較することによって機能します。データベースは、新しいマルウェアシグネチャが識別されるたびにコントリビュータによって更新されます。問題は、まだ識別されていないマルウェア、つまり未知のマルウェアは、データベースに登録されていないことです。マルウェアが世界に放たれてから、従来のアンチウイルスソリューションによって識別できるようになるまでには、時間的なギャップがあります。

NGAV（次世代アンチウイルス） は、AIや機械学習などのより高度なエンドポイント保護テクノロジーを使用し、ファイルハッシュ、URL、IPアドレスなどのより多くの要素を調べて新しいマルウェアを特定し、そのギャップをなくします。

2. 検知：EDR

防御だけでは不十分です。完璧な防御というものはなく、攻撃の一部は常にすり抜けて首尾良くネットワークに侵入します。従来のセキュリティでは、これがいつ起きたかを確認できず、攻撃者は数日、数週間、または数か月間、環境内に自由に滞在できます。企業は、攻撃者を迅速に見つけて排除することにより、これらの「サイレント障害」を阻止する必要があります。

サイレント障害を防ぐために、EDRソリューションはエンドポイントで起こっていることをリアルタイムで継続的かつ包括的に可視化する必要があります。企業は、インシデントデータの検索と調査、アラートのトリアージ、疑わしいアクティビティの検証、脅威ハンティング、悪意のあるアクティビティの検知と封じ込めなど、高度な脅威の検知、調査、対応の機能を提供するソリューションを探す必要があります。

3. マネージド脅威ハンティング

すべての攻撃を自動化だけで検知できるわけではありません。セキュリティ専門家の専門知識は、今日の巧妙な攻撃を検知するために不可欠です。

マネージド脅威ハンティングは、すでに発生したインシデントから学習し、クラウドソーシングされたデータを集約して、悪意のあるアクティビティが検知された場合の最善の対応方法に関するガイダンスを提供するエリートチームによって実施されます。

4. 脅威インテリジェンスの統合

攻撃者に先んじるためには、企業は進化する脅威を理解する必要があります。巧妙な攻撃者や持続的標的型攻撃 (APT攻撃) は、迅速かつ密かに行動することができるので、セキュリティチームは防御が自動的かつ正確に調整されるようにするための、最新で正確なインテリジェンスを必要としています。

脅威インテリジェンス統合ソリューションには、数時間ではなく数分ですべてのインシデントを調査し、知識を得るための自動化を組み込む必要があります。将来の攻撃に対するプロアクティブな防御を可能にするため、エンドポイントから直接、カスタマイズされた侵害の痕跡 (IOC) を生成する必要があります。また、さまざまな状況で新たな脅威を理解できる、専門のセキュリティ研究者、脅威アナリスト、文化専門家、言語学者で構成される人的要素も必要です。

クラウドベースアーキテクチャの重要性

クラウドベースのアーキテクチャには、エンドポイントセキュリティに関して次の利点があります。

クラウドストライクの高度なエンドポイント保護

組織は、迅速かつ継続的な検知、防御、対応を求めています。そのためには、すべてのエンドポイントにわたっての、遮るもののない可視性、巧妙な攻撃のリアルタイム防御、執拗な攻撃者による環境侵害およびデータの窃盗をブロックする機能が必要です。

クラウドストライクは、エンドポイントセキュリティに対する新しいアプローチを提供します。従来のセキュリティやネットワークセキュリティソリューションとは異なり、クラウドストライクのエンドポイントセキュリティソリューションは、真のNGAV（次世代アンチウイルス）とEDR、マネージド脅威ハンティング、脅威インテリジェンスの自動化など、侵害の阻止に成功するために必要なテクノロジーを統合し、そのすべてを単一の軽量エージェントを介して提供しています。CrowdStrike Falcon^® Endpoint Protection Enterpriseには、次のモジュールが含まれています。

• クラウドストライクのNGAVソリューションであるCrowdStrike^® Falcon Prevent™は、マルウェアの既知のサンプルと未知のサンプルの両方の検知において100%の評価を獲得し、フォールスポジティブの発生率は0%でした。Falcon Preventは、Gartner、Forrester、およびその他の業界アナリストが指摘しているように、業界初の「NGAV承認」エンドポイントソリューションです。
• CrowdStrike Falcon^® Adversary Intelligenceは、脅威インテリジェンスとエンドポイント保護を統合することで、予測型セキュリティを実現します。あらゆる規模の企業に適したFalcon Intelligenceは、組織のエンドポイントに到達する脅威を即座に分析する機能を提供します。Counter Adversary Operationsにより、ようやく攻撃者の活動に先手を打ち、一歩先の対応を続けることが可能になりました。