はじめに

エンドポイントセキュリティとは？

エンドポイントセキュリティ(Endpoint Security)は、エンドポイントプロテクション(Endpoint Protection)とも呼ばれ、ノートPCやデスクトップPC、タブレット、サーバーなどの様々なタイプのエンドポイントのデバイスを組織全体で安全に保護するテクノロジーのことを意味します。

エンドポイントセキュリティ製品は、ホスト(host)のファイアウォールやディスク暗号化、デバイスコントロール、Next Generation Antivirus(NGAV)の機能を含みます。

https://www.fortinet.com/resources/cyberglossary/what-is-endpoint-security#:~:text=Endpoint security is the process,the cloud from cyber threats

エンドポイントセキュリティの脅威とは？

現在サイバー犯罪者によるサイバー攻撃が増加し、ハッカーは39秒毎にサイバー攻撃を行い、1日で合計2,244回の攻撃が行われていると言われています。
エンドポイントのデバイスは、ネットワークへの接続に多く使用されるため、サイバー攻撃者にとって最も一般的なターゲットの1つとなっています。

Strategy Analyticsによると、2018年には220億台のデバイスが接続されていましたが、2025年までに386億台、2030年までには500億台に増加すると言われています。それ故に、Verizonの脅威レポートでは、データ侵害(data breaches)の30%がエンドポイントにインストールされたマルウェアに関係していることが報告されています。

企業のネットワークにおけるエンドポイントは脆弱である場合が多いため、サイバー犯罪者にとっては、侵入経路の1つとなっています。そのため、従業員が使用している全てのデバイスは、サイバー犯罪者にとってハッキングする経路の1つとして利用されるため、常にリスクを伴い、機密データが盗まれたり、漏えい(data leak)する可能性があります。

そのため、企業はサイバー攻撃が発生した際に、マルウェアを分析(analyze)、検出(detect)、ブロック(block)し、封じ込め(contain cyber attacks)までできるソリューションが不可欠になっています。また組織はお互い協力し合い、ITチームならびにセキュリティチームが高度な脅威を可視化できるテクノロジーを用いて、セキュリティリスクを迅速に検出し、潜在的な問題を迅速に修復できるようにする必要があります。

エンドポイントセキュリティの機能

エンドポイントセキュリティの目的は、ファイルを検査することよってネットワークに接続した個々のデバイスを保護することです。
エンドポイントセキュリティ製品は、オンプレミスやクラウドベースで提供されています。

従来のウイルス対策に対する、エンドポイントセキュリティ製品の主な機能は以下の通りです。

• 組織全体の可視化とコントロール
  従来のウイルス対策ソフトはITスタッフやセキュリティ専門家によるリモートからの監視を受けることはできません、また個々のエンドポイントを使用して調査することはとても時間が掛かります。しかし、エンドポイントセキュリティソリューションは組織全体可視化し、制御し、調査することが容易にできます。

• 集中管理
  エンドポイントセキュリティソリューションは1つの中央コンソールから管理され、管理者は更新やポリシーの変更を複数のエンドポイントに一度にインストールしたり、ログインを認証することができます。

• 脅威の保護
  従来のエンドポイントウイルス対策ソフトは、既知の脅威のデータベース(signature-based)に登録されているため、識別可能なマルウェアやその他の脅威をブロックすることができます。
  しかし、エンドポイントセキュリティソリューションは、データの損失、高度なマルウェアテクノロジー、ランサムウェアなどの脅威から保護することができます。

https://www.paloaltonetworks.com/cyberpedia/what-is-endpoint-protection

エンドポイントセキュリティの重要性

エンドポイントセキュリティによるメリットは、次のようなものがあります。

1. 全てのエンドポイントの保護
   エンドポイントの数が益々増え、様々な種類のデバイスが使用される中で、全てのエンドポイントを保護することは難しくなっています。エンドポイントセキュリティは、デバイス上のデータを保護し、紛失や盗難の際にも対応できる機能があります。
2. 従業員のセキュアなリモートワークの確保とリモートワーク推進
   リモートワークが推進されたことにより、従業員の新しい働き方が推進されています。
   従業員はどこにいても、どのデバイスでも可能な限り効率良く効果的に活動できることが望ましいです。しかし、同時に従業員が安全に作業しているかを確認することも難しくなり、ハッカーが攻撃する隙を与える脆弱性が生じてしまいます。
   エンドポイントセキュリティによりデバイスを保護することは、昨今益々重要になってきていまうす。
3. 機密情報を盗もうとするサイバー攻撃者の高度な脅威から守る
   ハッカーは、高度な技術を使って企業のネットワークにアクセスし、データ侵害や標的型攻撃ななどによって従業員から企業の機密情報を盗もうと日々試みています。エンドポイントセキュリティにより、サイバー犯罪者が企業のネットワークにアクセスすることを妨げ、企業の機密情報を守ることは重要です。
4. ID(identity)保護
   従来の境界型セキュリティでは、様々な場所やネットワークを介して組織のネットワークに接続するデバイを保護することは困難です。エンドポイントセキュリティは従業員のデバイスをセキュアに保護することにより、企業データやリソースにアクセスする従業員の場所や方法に関係なく、従業員が安全に働くことができることを可能にします。

https://www.fortinet.com/resources/cyberglossary/what-is-endpoint-security#:~:text=Endpoint security is the process,the cloud from cyber threats

---

AV vs EPP vs EDR vs XDR

AV (Antivirus)

ウイルス対策ソフトウェア(Antivirus software)は、デバイスに感染するマルウェアの検出、排除、防止に役立ちます。
ウイルス対策ソフトウェアは、ノートパソコンやPC、ネットワークサーバー、モバイルデバイスに直接インストールされます。そして、ファイルとディレクトリをスキャンし、ウイルスの定義とシグネチャに一致するパターンを検出することにより、マルウェアを発見します。
しかしながら、既知の脅威のみを認識するため、最新のマルウェアを検出するためにはソフトウェアのアップデートが必要になります。

一方でエンドポイントセキュリティは、ウイルス対策ソフトウェアのアプローチとは根本的に異なります。個々のデバイスを保護するウイルス対策ソフトウェアとは異なり、エンドポイントセキュリティソリューションは個々のデバイスを保護する代わりに、企業のネットワークに接続するすべてのエンドポイントを含む、ネットワーク全体を保護する機能があります。

EPP (Endpoint protection platform)

エンドポイント保護ソリューションは、一般的にエンドポイント保護プラットフォーム（EPP）を示します。
EPPはウイルス対策ソフトウェアのようなエンドポイントセキュリティ製品より強固なセキュリティ保護を提供する、クラウドベースのエンドポイントセキュリティソリューション(cloud-based endpoint security solution)です。
従来のエンドポイントセキュリティは、悪意あるファイルを見つけるためにエンドポイントにおけるデバイスを継続的にスキャニングしますが、これではパフォーマンスを低下させてしまいます。
サイバーセキュリティ上における脅威はますます巧妙化しており、もはやひとつのウイルス対策製品だけでは高度なマルウェアやランサムウェアの技術を阻止するには不十分です。高度なマルウェアやランサムウェアは、Signature-baseではなくなっているため、検出が困難になっています。

EPPは、ファイルベースまたはファイルレスマルウェア、既知や未知の脅威、悪意あるスクリプト、メモリベースの脅威から保護します。

機械学習による行動脅威保護(Behavioral threat protectio)とAIを活用した分析により、新たな脅威を積極的に特定し、検出、阻止することができます。

EDR (Endpoint detection and response)

エンドポイント保護プラットフォーム(EPP)は、悪意あるアクティビティを検出してブロックし、保護制御(Protection contorol)を回避し、またインシデントを調査して修復する機能も提供する場合があります。 このソリューションは、一般的にEDRと呼ばれています。
EDRはエンドユーザーのデバイスを継続的に監視し、ランサムウェアやマルウェアなどのサイバー脅威を検出して対応します。
EDRにより集められたエンドポイントテレメトリー（エンドポイントの遠隔測定）は、検出された脅威のトリアージと調査を可能にし、SOCチームが脅威を迅速に特定して対応できるようにします。

XDR (Extended detection and response)

エンドポイント保護の次の新たなソリューションは、**拡大検知対処（extended detection and response; XDR）**として知られています。
XDRはエンドポイントセキュリティの新しいアプローチであり、エンドポイントのデータだけでなく、ネットワークやクラウドデータ、サードパーティ(thrd-party)のデータなどのあらゆるソースからのデータを統合することで、更なる強固な保護・検出・対応を提供します。

SOC運用の負担を軽減し、インシデントについてより効率的に調査するために、全てのデータは、異なるシステムではなく、一カ所のコンソールから分析されます。

効果的なXDRソリューションの望まれている結果は、屈強なエンドポイント保護を提供するだけではなく、インシデント対応へのよりシンプルなアプローチを可能にし、対象を絞った高い効果的な検出ができることです。

---

エンドポイントセキュリティの発展

1980s: Antivirus (AV)

1980年代はエンドポイントにある端末のファイルをスキャンして、マルウェアを検出するウイルス対策ツールが発展を遂げていました。

2000s: Next-Generation Antivirus (NGAV)

新しいマルウェアに対抗するために、2000年代初頭はより効果的な次世代アンチウイルスソリューションのために、機械学習や行動脅威保護の技術が導入されました。

2010s: Endpoint Protection Platform (EPP)

EPPはアンチウイルス、次世代アンチウイルス、個々のデバイスのファイアウォール、暗号化、USBデバイス制御、脆弱性評価などを組み合わせ、マルウェアがエンドポイントのデバイスに侵入するのを防ぐプラットフォームを提供します。

2015: Endpoint Detection and Response (EDR)

Gartner Analyst Anton Chuvakin氏が、2013年のエンドポイントで「疑わしいアクティビティの検出と調査に焦点を当てたツール」を説明するために「Endpoint threat detection and response」という造語を作りました。
この造語は、2015年までに「Endpoint detection and response（エンドポイントの検出と応答）」という言葉に発展しました。

2021: Extended Detection and Response (XDR)

XDRの概念は2019年にPalo Alto Networksによって最初に紹介されましたが、XDRはエンドポイントセキュリティ市場において急速に注目を集める、新しいテクノロジーとして考えられています。
現在ほとんどのテクノロジープロバイダー企業は、EPP/EDR 機能を組み合わせたエンドポイントセキュリティを提供していますが、膨大なデータソースを1つのプラットフォームに組合せて分析と修復を行う本当のXDRのソリューションを提供していません。

https://www.paloaltonetworks.com/cyberpedia/what-is-endpoint-protection

おわりに

今回はエンドポイントセキュリティについて調査してみました。
エンドポイントセキュリティの現在の最新ソリューションはXDRですが、まだ日本のサイトでは情報が少ないように感じました。
次回の記事では、エンドポイントセキュリティソリューションのXDRやDLP, MDRについて調査した内容を記載したいと思います。

今回の記事が参考になりましたら幸いです。

External Links (参考URL)

1. Endpoint Protection, Palo Alto Networks
2. What is XDR?, Palo Alto Networks
3. What is Endpoint Security?, FORTINET
4. Hackers Attack Every 39 Seconds, securitymagazine
5. Number of connected devices reached 22 billion, where is the revenue?, Help Net Security
6. 2022 Data Breach Investigations Report, Veriszon