コラム エンドポイントセキュリティとは？ゼロトラストモデルにおける重要性と海外拠点におけるベストプラクティスを解説

グローバルレベルでクラウド利用の増加やテレワークの普及に伴い、エンドポイントセキュリティが注目を集めています。まずは、ゼロトラストモデルにおけるエンドポイントの定義、エンドポイントセキュリティの概要と重要性について解説します。

エンドポイントとは、ネットワークに接続されている任意のデバイスのことです。デバイスはデスクトップPC、ノートPC、スマートフォン、タブレット、その他のIoTデバイスなど、広範にわたります。これらのデバイスは全て、ユーザーがデータやアプリケーションにアクセスできる「終点」であり、これが「エンドポイント」の名前の由来です。

エンドポイントセキュリティとは、前述したエンドポイントデバイスに対するセキュリティ対策全般を指します。エンドポイントに対する脅威には、マルウェアや不正アクセス、データ漏えいなどが存在しますが、それらに対する予防や検出、可視化、分析などを行うのがエンドポイントセキュリティです。具体的には、アンチウイルスソフトウェア、ファイヤーウォール、侵入検知システム（IDS）、侵入防止システム（IPS）などが挙げられます。近年では、後述する EDR や EPP などの新しい技術や、MDMなどの高度な管理ツールもエンドポイントセキュリティに含まれるようになりました。

エンドポイントは、企業ネットワークの入り口であり、ユーザーが企業のデータやアプリケーションに接続するための主要な経路です。エンドポイントが多様化し、その数が増えるほど、入り口も増えることになります。万が一エンドポイントが攻撃を受けると、デバイスを足掛かりにネットワーク全体が脅威に晒される危険性があります。

また近年では、海外拠点におけるリモートワークの増加やBYOD（Bring Your Own Device）の普及により、エンドポイントが直面するリスクが増大しています。

ゼロトラストモデルは「誰も信用せず、すべてを検証する」を基本原則として、全てのアクセスを毎回検証し、さらに「最小特権の原則」に則り必要最低限のリソースへのアクセスだけを許可するという考え方です。ゼロトラストモデルの採用により、個々のエンドポイントのセキュリティが確保され、万が一ネットワーク内部に侵入されても影響を最小限に抑えられます。

このように、エンドポイントセキュリティは、企業全体のセキュリティ体制の強固さを保証する上で欠かせない要素です。そして、デジタル化の波はグローバルの潮流となっているため、国内だけではなく海外拠点においても、エンドポイントセキュリティは重要な技術といえるでしょう。

エンドポイントセキュリティは、具体的にどのような機能に支えられているのでしょうか。ここでは、エンドポイントセキュリティを実現する下記の機能について解説します。

①   エンドポイントセキュリティ

・EPP (Endpoint Protection Platform)
・EDR（Endpoint Detection and Response）
・MDM（Mobile Device Management）

EPP (Endpoint Protection Platform) は、PC やタブレット、スマートフォンなどのエンドポイントをマルウェアなどから保護し、エンドポイントのセキュリティを総合的に管理するためのソリューションです。一般的にはアンチウイルスソフトウェアと呼ばれていますが、近年ではファイヤーウォール、侵入防止システム、データ損失防止などの機能を統合した製品も提供されています。EPPの主な機能は下記のとおりです。

・マルウェア保護

マルウェア保護

ゼロトラストモデルにおけるEPPの主要な機能は、マルウェアからの保護です。EPPはエンドポイントデバイスにマルウェアが侵入することを防ぐほか、侵入したマルウェアを検出し、隔離や排除を行います。さらに、一度感染したマルウェアの種類や行動を学習し、そのデータをもとに未知の新たなマルウェアに対する防御手段を強化することも可能です

EDR（Endpoint Detection and Response）は、エンドポイント上で不審な挙動をリアルタイムに検出し、その脅威への対策を提供するソリューションです。EDRはEPPと異なり、マルウェアに感染した状態を想定しています。エンドポイント上の怪しい行動をチェックし、分析を行うことで新たな脅威の検出が可能です。EPPでは防ぎきれない未知のマルウェアへの有効な対抗策となります。EDR の主な機能は下記のとおりです。

・監視と検出
・可視化と分析
・インシデント対応
・予防

監視と検出

EDRの基本的な機能が監視と検出です。エンドポイントのネットワークトラフィック、システムの変更、プロセス、ファイルの操作など、エンドポイント上の挙動を監視し、常時データを収集します。これにより、EDRはリアルタイムでエンドポイント上に不審な挙動がないかをチェックし、これまで知られてこなかった未知のマルウェアなど、潜在的な脅威を速やかに検出することが可能です。

可視化と分析

EDRは集められたデータを分析し、エンドポイントデバイスの状況を可視化できます。セキュリティ担当者は一目で不審な動きや潜在的な脅威を確認でき、迅速な対応が可能となります。

インシデント対応

未知のマルウェアなど、潜在的な脅威を検出した場合、EDRは自動的にインシデント対応を開始します。インシデント対応には、マルウェアの隔離、脅威の排除、システムの復旧などがあります。また、インシデントの詳細なログを、脅威分析や今後の対策に役立てることが可能です。

予防

EDRは潜在的な脅威を早期に検出し、大きな問題に発展することを防止します。また、攻撃の手口やパターンを学習し、それらを基にした予防策を提供するため、未来の脅威にも早期に対処できます。

MDM（Mobile Device Management）は、企業がスマートフォンやタブレットなどのモバイルデバイスを安全に管理するための管理ツールです。大量のモバイルデバイスの管理と、セキュリティ対策を一元的に行えます。MDMにより、企業はモバイルデバイスがセキュリティポリシーを満たし、安全に使用されていることを確認できます。MDMの主な機能は下記のとおりです。

・モバイルデバイス管理
・デバイスのセキュリティ対策

MDMは、モバイルデバイスの基本的な設定やアプリケーションのインストール・削除、OSのアップデートなどを一元的に管理します。また、デバイスが紛失した場合には、リモートロックやデータ消去などの対処も可能です。社員が使用するモバイルデバイスへの一貫した管理とセキュリティ確保を実現できます。

MDMは、モバイルデバイスのセキュリティ対策の強化も可能です。例えば、不正なアプリケーションのインストールを防止したり、デバイスの暗号化を強制したりできます。また、デバイスがコンプライアンスに準拠しているかを確認し、違反があれば速やかに使用停止などの対処を行うことも可能です。

最後に、ゼロトラストモデルにおけるエンドポイントセキュリティの活用事例・ベストプラクティスを紹介します。

EDRを導入してエンドポイントセキュリティを構築した事例を紹介します。

某商社では、Microsoft 365を活用した次期コラボレーション基盤を構築し、市民開発や従業員体験の向上に向けた取り組み（※1）を加速させています。同社ではコラボレーション基盤として60カ国超 1万2,000ユーザーが利用する大規模なシステムを運用してきましたが、コミュニケーションやコラボレーションの基本はメールや電話でした。そこで、全面的な基盤の刷新にあたり、ゼロトラストセキュリティを実現しながら、新しい働き方への対応、ITインフラ運用の効率化、クラウドの最新機能の活用を目指しました。

こうしたグローバル規模のシステムを、Microsoft 365をベースにフルクラウド化し、セキュリティについては端末認証や端末セキュリティでWindows HelloとMicrosoft Defender for Endpointを採用。特に、認証については Azure Active Directory（以下、 Azure AD）を使って、条件付きアクセスやリスクベース認証、多要素認証、特権アクセス制御、デバイス認証などを実現しました。

某食品メーカーは、オフィス内の生産効率を高めるために、2014年からコミュニケーション基盤にMicrosoft 365(当時は Office 365)を採用してクラウド化し、働き方改革にも対応したテレワーク環境を早々に整備するなど、さまざまな施策を講じてきました。また、予算やリソースが限られる海外拠点においてもセキュリティ強化に取り組んでおり、Microsoft 365 E5 Securityの活用によって、海外9社でいち早くゼロトラストセキュリティを実践（※2）しています。セキュリティ施策のなかで大きなポイントとなったのが、Microsoft Defender for Endpointと、外部のIT パートナーが提供するSOC(Security Operation Center)の連携運用によるデバイスのセキュリティ強化でした。『デバイスがマルウェアやウイルスに感染してしまった場合』の対策として、Microsoft Defender for Endpointを展開し、デバイスをマイクロソフトが持っている膨大なナレッジに基づいてAIが監視する対策を採用。結果として、2020年頃に猛威を振るったマルウェア「Emotet」の被害を抑えることに成功しています。

運用管理の体制が少ない海外拠点でも、すべての端末やシステムの状態をリアルタイムで把握できる環境を整えることで、グループ間での横展開と連携強化につながっています。

エンドポイントは、海外においてもユーザーが最も触れる部分です。企業の機密情報へのアクセスが可能で、場合によってはエンドポイント上にも情報が格納されます。

また、マルウェアが動作し始める場所もエンドポイントであり、侵入・不正プログラム実行・感染といった一連の動作はエンドポイント内で実施されます

これらを踏まえ、ゼロトラストモデルにおけるエンドポイントセキュリティのベストプラクティスとしては以下が考えられます。

①   ネットワークに接続する全てのデバイスの検出と管理
②   最新の OS ・セキュリティソフトウェア・セキュリティパッチの適用
③   ユーザー権限の最小化
④   定期的な脆弱性の検出と修正
⑤   紛失または感染したデバイスの迅速な修正

エンドポイントセキュリティの導入において重要なのは、まず使用している全てのデバイスを網羅し、管理に組み込むことです。そのうえで、組織のセキュリティポリシーに合ったセキュリティ対策を講じ、定期的な改善を行うことで、最適なセキュリティレベルを維持できます。

本記事では、ゼロトラストセキュリティモデルにおける、エンドポイントセキュリティの役割について解説しました。海外拠点では、人的リソースが少ない状況で、地域のコンプライアンスに準拠したセキュリティを導入する必要があります。KDDIでは、海外拠点においてゼロトラストを実現するサポートを行っています。「効率的なセキュリティ対策を実施したいが方法がわからない」などのお悩みがあれば、ぜひ一度KDDIにご相談ください。

次回は、IoTにおけるゼロトラストセキュリティモデルの活用についてご紹介します。