デジタルテクノロジー全盛となった現代において、サイバーセキュリティの概念上で「エンドポイント」とカテゴライズされるパソコンやスマートフォン、サーバーなどといった末端機器は増加の一途をたどっている。これら機器の数が増加することはリスク要因の増大と同義といっていい。今後のIoT時代到来により、これらエンドポイントの数は爆発的な増加が確実視されている。企業はこれらを背景に、エンドポイントに対してどのようなセキュリティ対策を講じるべきだろうか。
エンドポイントセキュリティとは?
企業におけるセキュリティ対策はこれまで、エンドポイントセキュリティとゲートウェイセキュリティの大きくふたつに分けて対策が講じられてきた。エンドポイントセキュリティとは、パソコンやサーバーなど、そして最近ではスマートフォンまで含めた末端機器に対し、アンチウイルスソフトを常駐させることでマルウェアの侵入を予防するというものである。
そしてより強固な対策として、エンドポイントの前、すなわちゲートウェイにIPS(Intrusion Prevention System:不正侵入防止システム)やIDS(Intrusion Detection System:不正侵入検知システム)、ファイアウォールなどを設置するのがゲートウェイセキュリティである。これらの対策は「既知のマルウェア」を前提に、それぞれ適切な対策を施すことで防衛をするという考え方に基づいている。
エンドポイントセキュリティ、何を誰からどのように守るのか
エンドポイントセキュリティ対策を考えていくにあたり、サイバーセキュリティの基本的な考え方である「どのような情報をどうやって守るのかを」を明確にすることが重要となる。企業によって事業ドメインも異なり、事業の取り組みも異なる。そして当然ながら社員のリテラシーやスキルも異なる。すなわち、企業によって事情がそれぞれ異なるということであり、それぞれ違う対策が必要となる。
何を守るのか
エンドポイントセキュリティの観点で「何を守るのか」と考える場合、「情報資産」がその対象となる。企業の規模や事業ドメインによって変わるが、保有している情報の中で「価値あるもの」を情報資産と定義することができる。ここでポイントとなるのは自社視点だけで判断するのではなく、他人が手に入れた時にその情報が価値あるものかどうかという点だ。主観的だけではなく、客観的な視点での価値も含めて精査することも、対策を講じる際に踏まえておきたい。
例)特許に関連する技術資料、社外秘となっている社内懲罰の情報、など
誰から守るのか
企業からの情報漏えいは外部からの攻撃によるものが多いと思われがちだが、実際は異なる。多くの場合で、悪意の有無はさておき、企業内部の人間に起因している。エンドポイントセキュリティの場合、内部の人間にどう持ち出させないようにするかということだが、内部不正対策と共通する部分が多いのでこの点は本稿では割愛する。
例)特許に関する情報を狙う外部組織、持ち出して外部に流出させようとする中の人、など
どのように守るのか
エンドポイントセキュリティの対象となるのはパソコン、サーバー、スマートフォンなどの端末となる。これらに対する攻撃でまず挙がるのはマルウェアだろう。ただ、マルウェアの挙動は年々高度化する一方で、動作自体だけでなく、活動のタイミングなども予測がしづらくなってきている。そのため、マルウェアの最新動向をキャッチアップして活動のパターンなどを把握しておきたい。
例)パソコンにセキュリティソフトのインストール、重要情報送付時の二重チェック義務化、など
ビジネスモデルのライフサイクルが短期化したことで、企業も事業もその形態が時間経過とともにダイナミックに変化する時代。新規事業の立ち上げやM&A、事業の統合・整理なども珍しくない。このような状況において、エンドポイントセキュリティも常にアップデートが欠かせない。企業の新たな動きにセキュリティ対策も連動するような、スピード感ある対応が求められている。
これからの時代のエンドポイントセキュリティ
一日に100万種以上も産み出されているとされるマルウェアの増殖に対し、いわゆる「定義データベース」は追いつけなくなってきている。このような状況を受け、登場してきたのが新しいエンドポイントセキュリティの考え方である。
NGEPP(Next Generation EndPoint Protection)
これまでのエンドポイントセキュリティの延長線上にある考え方で、機械学習を用いてこれまでの定義ファイルをベースに未知のマルウェアを類推し、検出するというものである。いわゆる「入口対策」であり、「従来の対策の延長線上」にあるとするのはこのためだ。
EDR(Endpoint Detection and Response)
未知のマルウェアの中には、侵入のタイミングで過去の定義ファイルからの類推では検出が難しいものも一定の割合で生じる。特に最近は防御側の対策を考慮してマルウェアも設計されるようになってきており、侵入時に危険な兆候を示さないものも多い。未知のマルウェアが危険な行動もとらなければ、侵入後一定の時間が経過してから活動を始めても、その攻撃を防ぐことが極めて困難となる。EDRの考え方はマルウェアと思しきファイルが危険な活動を始めた際に、すみかに察知・検出し、隔離をおこなうというものである。
考え方としては、NGEPPで防ぎきれないものをEDRで補完するというものであり、合わせて採用することにより、セキュリティリスクを一層軽減できるようになる。要するに、これまでのエンドポイントセキュリティ対策やファイアウォールなどによるゲートウェイセキュリティでは、セキュリティリスクを完全に排除することは難しくなってきている。そのため、侵入された場合でも、被害を最小なものにとどめることを前提に対策を講じるのが最近のエンドポイントセキュリティの主流となりつつあるのだ。
手口は高度化し続けるという前提で対策を
クラウドの普及によるサーバー関連費用の低下、ハイスペックなマシンの低価格化、機械学習の進化などデジタルテクノロジーを巡る環境の進歩は、結果的にサイバー攻撃の手口が高度化する状況を招いている。一般の人々に紛れ込んで犯罪をおこなうサイバー攻撃者を判別し、悪意のある用途には利用させないというのは残念ながら現実としては難しい。今後もテクノロジーの発展と足並みを揃えるかのように手口はより高度になっていくことだろう。
そうした攻撃からの被害を最小限に防ぐためには、防衛側もテクノロジーの恩恵に頼るしかない。今回紹介した、NGEPPやEDRはまさに新しいテクノロジーを前提として産み出された概念・手法である。攻撃サイドと防衛サイドによる「イタチごっこ」が終焉の時を迎える未来は残念ながらまだ見えない。だからこそ、防衛サイドとしては対策時点での最善を尽くしていくしかないだろう。