ウイルス対策ソフトをインストールしただけではサイバー攻撃を防ぎきれないとお悩みではありませんか。もっと安心・安全な環境を手に入れたいのであれば、EDRおよびエンドポイントセキュリティに関する仕組みや考え方を把握しておくことをおすすめします。
今回はEDRに関する基礎知識、エンドポイントセキュリティ対策の基本、そしてエンドポイントセキュリティ対策を強化できる具体的なツールについてお話します。

EDRに関する基礎知識

はじめにEDRに関する基礎知識について解説します。

EDRとは何か

EDRとはEndpoint Detection and Responseの略称であり、エンドポイントで脅威を検出し、応答（対応）する技術を意味します。エンドポイントとは末端のデバイスおよび端末を意味しており、エンドポイントに焦点を当てたサイバー攻撃へのセキュリティ対策と言えるでしょう。EDRの仕組みや技術を導入することで、エンドポイントの時点、またはエンドポイントを狙ったサイバー攻撃を検知しやすくなり、かつ保護することが期待できます。
具体的には監視体制を整えて不審な動きを検知し、サイバー攻撃が見つかったら対応策を提案して保護する。その上で監視によるデータ収集を継続的に行い、データベースとして蓄積しつつ、既知の脅威から未知の脅威にまで幅広く対処していくような流れです。
EDRはAIや機械学習と組み合わせて、セキュリティ製品として提供されている技術でもあり、サイバーセキュリティ市場においても年々需要が高まっています。

エンドポイントセキュリティという考え方

エンドポイントセキュリティを企業や組織で置き換えると、業務で利用するデバイスがエンドポイントと言えます。業務で利用するデバイスのセキュリティに注力することで、サイバー攻撃を検知し、遮断し、即座に対応することができれば、企業活動におけるセキュリティインシデントを未然に防ぐことができるということです。
実際に内部不正も含めて、情報漏えいやデータ改ざんなど、従業員が利用するデバイス、すなわちエンドポイントが原因になることはほぼ確実です。役職や立場、担当は違ったとしても、企業や組織に勤めている人が利用しているデバイスはすべてエンドポイントと言えるからです。エンドポイントセキュリティに注力するということは、企業や組織で利用するデバイスのセキュリティを強化できるということを理解しておきましょう。

エンドポイントセキュリティを怠ることのリスク

エンドポイントセキュリティを怠るということは、セキュリティインシデントがいつ発生してもおかしくないというリスクがあります。サイバー攻撃の標的になってしまえば、検知することも防ぐこともできずに、悪意のある第三者に好きなようにされてしまうのです。
例えば、管理職や経営陣のエンドポイントが悪意のある第三者に悪用されると考えてみてください。権限を悪用して情報を盗み出すことも、他のデバイスのセキュリティを緩めることも、場合によっては金銭的な操作を不正に行うことも可能です。その他にもなりすましによって顧客に詐欺的な行為を行われる可能性もあり、非常に危険な状態になるのは明白と言えるでしょう。

エンドポイントセキュリティ対策の基本

次にエンドポイントセキュリティ対策の基本について解説します。

既知のマルウェアはパターンファイルで防御

エンドポイントセキュリティの基本として、既知のマルウェアはウイルス対策ソフトなどのパターンファイルで防御します。常に最新のパターンファイルに更新することを怠らないようにすれば、既知のマルウェアを検出し、削除やその他の対応が取れるということです。

ファイル内のコードで脅威を検知する「ヒュースリスティック分析」

パターンファイルで検知できないマルウェアやスクリプトに対して「ヒュースリスティック分析」で検知する手法があります。ファイル内のコードで脅威を検知するため、パターンファイルに存在しないマルウェアを検知し、対応ができるという仕組みです。

プロセスの挙動で検知する「振る舞い検知」

パターンファイルでもヒュースリスティック分析でも検知できないマルウェアの対策として「振る舞い検知」があります。デバイス内で稼働するプロセスの挙動で脅威を検知する仕組みであり、乗っ取りやなりすまし、不正接続や不正操作に効果的です。

エンドポイントセキュリティ対策を強化するために必要な技術

次にエンドポイントセキュリティ対策を強化するために必要な技術をご紹介します。

マルウェア感染の検知と感染経路を特定する仕組み

前提として、「マルウェアに感染したことを検知する」ことが必須です。まずは感染したことを検知できなければ、対応ができないということです。そして、マルウェアはなるべく長い間デバイス内で実行されること、もしくは一定のタイミングで実行できるようにしておくことで、さまざまなサイバー攻撃をしてきます。その上、マルウェアは検知される仕組みを理解した悪意のある第三者が作成することもあり、検知されないように特化しているものばかりです。
感染の検知ができる仕組みを導入するとともに、感染源や感染経路の特定できる仕組みも導入しましょう。どこから感染したのか、どこまで感染したのか把握できなければ、被害が拡大するためです。エンドポイントセキュリティを強化するためには「感染の検知」「感染源元、感染経路の特定」が重要であると覚えておきましょう。

PC操作ログ、Web閲覧履歴、メール送受信履歴の取得と監視

エンドポイントセキュリティでは「監視ができる体制」も必須です。監視ができなければ感染を検知することも、感染源や感染経路を特定することもできません。ウイルス対策ソフトとともに、PC操作ログ、Web閲覧履歴、メール送受信履歴など各種ログの取得と監視ができる体制を整えましょう。
監視体制を整えるためには「IT資産管理」や「情報資産管理」の考え方や仕組みを導入することをおすすめします。監視が可能になるだけでなく、OSやソフトウェアのアップデート、デバイスのスペックの把握、インストールしたソフトの把握など、業務で利用するデバイスを一元管理できるようになります。また、テレワークや遠隔地にあるパソコンも制御できるようになるため、離れた場所にあるエンドポイントのセキュリティ強化にもつながります。

マルウェア拡散の防止とデバイスおよびネットワークの遮断

エンドポイントセキュリティでは「マルウェア拡散防止」と「デバイスおよびネットワークに遮断」も必須です。被害を拡大させないこと、感染経路を遮断することの二つでセキュリティインシデントを食い止めます。
マルウェアはさまざまな種類がありますが、自分自身を複製し、他のデバイスに感染させる機能、そしてデバイス内に潜んで他のマルウェアを感染させたりするものがあります。そのため、感染した時点、または感染源であるデバイスを特定した時点でネットワークから遮断すれば、他のデバイスには感染できないということです。
これらの仕組みもIT資産管理や情報資産管理でのセキュリティ強化で実現できます。ウイルス対策ソフトは使っているが、その後の対策は不足していると感じているのであれば、セキュリティ全般を見直すとともにIT資産管理および情報資産管理に注力してみてください。

まとめ：感染防止と原因および経路の特定まで含めてセキュリティ強化しよう！