「エンドポイントセキュリティ」と聞くと関係する用語がとても多く、困ったことはありませんか？
エンドポイントセキュリティは様々な機能から成り立っており、多くの用語が頻出しますが、一つ一つ理解することによって原理から理解することができます。
本記事では、エンドポイントセキュリティに関する概要から機能、運用方法をご紹介します。

エンドポイントセキュリティとは

まずエンドポイントとは、ネットワークの末端に接続されたデバイスのことを指します。
ネットワーク利用者が直に操作する機械が該当し、企業でエンドポイントセキュリティを導入する場合は、多くの場合従業員用のPCに、場合によってはサーバにインストールすることもあります。
そのエンドポイントを対象とした保護施策のことを「エンドポイントセキュリティ」といいます。

エンドポイントセキュリティの役割

エンドポイントセキュリティは、名前の通りエンドポイントを対象とした保護施策のことで、いわゆるサイバー攻撃からエンドポイントを守ります。
サイバー攻撃は、ネットワーク上に存在する悪意のあるexeファイル（※）やmsiファイル（※）などの実行ファイルを実行することでエンドポイントを乗っ取ったり、データを流出させるといったケースが多くみられます。

基本的なエンドポイントセキュリティの役割は、悪意のある実行ファイルからエンドポイントを守る、といった部分になります。
多くの場合、アンチウイルス製品を導入してエンドポイントの保護を実施します。

※exeファイル：Windowsオペレーティングシステム（OS）上で実行可能なプログラムの一種。exeファイルを実行することで、コンピューター上でそのプログラムが動作する。
※msiファイル：ソフトウェアを導入（インストール）用に一つにパッケージするためのファイル形式の一つ。Windows Installerが標準で利用する形式。

エンドポイントセキュリティの機能

エンドポイントセキュリティの機能は、大きく分けて2つあります。

EPP

1つ目はEPP(Endpoint Protection Platform)です。
EPPは先述の「エンドポイントセキュリティの役割」に記載のように、悪意のある実行ファイルを察知し駆除する機能になります。

EPPの基本的なメカニズムは、パターンマッチングになります。
事前に悪意のある実行ファイルの情報をまとめたリストをアンチウイルス製品が保持しており、エンドポイントが実行ファイルを実行したタイミングで、対象の実行ファイルの情報を保持しているリストと照合し、一致するようであれば、その実行ファイルは悪質なものとみなし、駆除するといったメカニズムで動作します。
悪意のある実行ファイルの情報をまとめたリストは、一般的にパターンファイルと呼ばれています。

最近では、EPPの機能の一環で次世代型アンチウイルス[NGAV(Next Generation Anti-Virus)]という機能がアンチウイルス製品に導入されています。
これは従来のパターンマッチングの方式を利用している場合、パターンファイルに情報の無い実行ファイルであれば、アンチウイルス製品を導入していても検知が出来ないという弱点をカバーする機能になります。
パターンマッチングを搔い潜る悪意のあるファイルが増えてきたため、昨今NGAVの需要は増加しています。

NGAVは、パターンファイルには情報が無い未知のファイルの検知に特化した機能になります。
例えば、悪意のあるファイルをメモリ上で動作させ、そこから正規の機能であるPowerShell等に命令をかけて、エンドポイントを操作するといったファイルレス攻撃というサイバー攻撃を受けたとします。従来のアンチウイルス製品では元々メモリの監視をあまりしておらず、機能的には正規の機能であるPowerShellから操作をしているだけという判断をし、ファイルレス攻撃を察知することが出来ません。

そこでNGAVでは、メモリの監視機能の向上やエンドポイントが怪しい動作をした際に悪意のあるファイルを検知する振る舞い検知といった機能が働きます。
更には、それらのデータを活用したAIによるウイルス検知も登場しており、未知のファイルへの対策が年々強化されています。

※PowerShell：Windows管理用のCLIツール。PowerShellを利用することにより、Windows上の操作をキーボードだけで操作することが可能。

EDR

2つ目はEDR(Endpoint Detection and Response)です。
EDRとは、先述のEPPでは防ぎきれなかったウイルスを検知し、デバイスの隔離などの対処を行うための仕組みです。
NGAVや振る舞い検知といった対策機能が増えていっても、ウイルスの侵入は防げないこともあります。

EDRはウイルスに侵入されることを前提とし、いざ侵入された時に被害を最小限に抑えるための機能になります。
動作方法としては、エンドポイントの通信内容や動作を監視し不審な動きがあれば管理者へ通知します。

管理者はEDRによって取得されたログを頼りに、原因を追究し、対策を講じます。
EDRは、ウイルスを検知してからの対応を管理者自ら実施する必要があるため、最初のインストールやセットアップさえすれば稼働出来るEPPとは違い、どういったウイルスが侵入しているかログから解析する能力や、各種デバイスの操作経験が必要になります。

こういった背景があり、SOC(Security Operation Center)と呼ばれる、24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析や対応策のアドバイスを実行する組織へEDRの運用を委託するケースも見られます。

大きく分けて、以上2つの機能からエンドポイントセキュリティは成り立っています。

アンチウイルス製品に搭載される機能

エンドポイントセキュリティが持ち合わせている機能は、各社のアンチウイルス製品ごとによって様々です。
基本的にアンチウイルス製品はEPPから成り立っており、EDRに関しては標準で搭載されているものもあれば、オプションとして追加で導入する必要があるものもあります。
どのような機能を搭載しているアンチウイルス製品を導入するかは、運用する規模や価格を見ながら策定する必要があります。

エンドポイントセキュリティの運用方法と注意点

パターンファイルの更新

エンドポイントセキュリティの運用でまず気に掛けるのは、パターンファイルが各エンドポイントに配布出来ているかという点です。
パターンファイルは悪意のあるファイルの情報をまとめたリストであり、常日頃からそのリストは更新されています。
そのため、パターンファイルの更新が出来ていないと日々増加していくウイルスファイルを検知することが出来ません。
エンドポイントセキュリティを運用する際は、まず常にエンドポイントが最新のパターンファイルを保持しているか気に掛ける必要があります。

基本的にはエンドポイントにアンチウイルス製品をインストールすれば、自動でパターンファイルをダウンロードするする仕様になっていますが、アンチウイルス製品のライセンス期限が切れたまま放置してしまったり、エンドポイントデバイスのリプレイスなどで、パターンファイルの配布元への接続が正常に行えなくなってしまっていることにより、パターンファイルの更新が行えていないというケースがあるので注意が必要です。

除外設定

これはEPPでもEDRでも共通して言えることですが、業務で利用している社内システム等のアプリケーションが誤って悪意のあるファイルとアンチウイルス製品から判断されないように、アンチウイルス製品内の設定で各種アプリケーションを検知対象から除外する必要があります。
何も設定せずに運用を開始してしまったせいで、アンチウイルス製品からの誤検知のアラートメールが大量に届いていた、というケースもあります。

除外設定に設定を詰め込み過ぎて、ウイルスファイルの検知をスルーしてしまっては元も子もないですが、あまりに通知が多いようであれば原因を追究し、誤検知であるということが確認出来たら対象のアプリケーションやファイルを除外設定に組み込むことが望ましいです。

まとめ

今回はエンドポイントセキュリティの概要と運用方法について解説しました。
ネットワークを脅威にさらす、サイバー攻撃は常に進化しており、いつ私たちが利用しているエンドポイントデバイスに襲いかかってきてもおかしくありません。
深刻な状況になる前にエンドポイントセキュリティを強化し備えておく必要があります。
コストと必要な機能のバランスを上手く見定め、無駄なく堅牢なネットワークを築きあげましょう！

アンチウイルス製品の導入/アップデートをご検討の場合は、是非アイエスエフネットまでお問合せください。

アイエスエフネットのエンドポイントセキュリティ MIERUDR（ミエルダー）

■関連記事
・EDR製品のおすすめ3選！ 製品の基本から選び方まで徹底解説【2022年最新版】
・EDR導入ベンダー 3選!!導入費用の目安もわかる徹底解説【2022年最新版】