ウイルス感染が当たり前の時代!?エンドポイントで実施するセキュリティ対策

SHARE

セキュリティ問題があふれる昨今。まず初めに攻撃を受けるのはPCやスマートフォンなどのエンドポイントです。

そんな中、多くの企業で取り入れられているアンチウイルスソフトだけでは、すべてのエンドポイントをマルウェアランサムウェア標的型攻撃など日々進化する様々なサイバー攻撃から完全に防ぐことは不可能です。

そこで、今回はセキュリティ問題が発生することを前提として、エンドポイントのウイルスによる脅威の検出と対策ができるEDR(Endpoint Detection and Response)についてご紹介します。

セキュリティの脅威はエンドポイントから

IT部門により厳重に管理されているサーバと比べ、ユーザに管理が委ねられたエンドポイントは圧倒的に母数も多く、”セキュリティ対策の穴”を見つけることも比較的容易といえます。

攻撃者からすると、エンドポイントがねらい目であり、一度小さなセキュリティ対策の穴から中に侵入してしまえば、そこを突破口として社内ネットワークに侵入し、ネットワークを介してサーバ内の重要なデータまで迫ることができてしまいます。

そのため、重要なデータの保管先であるサーバのセキュリティ対策はもちろんのこと、エンドポイントのセキュリティ対策も非常に重要であり、決して疎かにしてはなりません。

©いらすとや

サイバー攻撃に対するエンドポイントのセキュリティ対策として多くの企業で取り入れられているアンチウイルスソフトは、ウイルスの感染予防を行う製品です。

しかし、ランサムウェアやマルウェア等のウイルスは、「予防接種を行っても毎年冬に流行するインフルエンザウイルス」などと同様に、日々進化をとげており、亜種の作成も容易です。

そのためアンチウイルスソフトだけで感染を完全に防ぐことは難しく、十分な対策とは言えないのが実状です。

★POINT★

セキュリティ部門では、ウイルスの侵入を前提とした検知・対策を強化することが急務となっています。

EDR(Endpoint Detection and Response)とは?

EDR(Endpoint Detection and Response)とは、エンドポイントの監視を強化するために構築されたエンドポイント・セキュリティ・ソリューションを指します。

EDR製品はその名の通り「エンドポイントでのランサムウェアや標的型攻撃などの脅威を検知し、感染後のインシデント対応時間の短縮」のための製品です。

多くの企業で取り入れられている従来のエンドポイントセキュリティ対策であるアンチウイルス製品(ウイルスの感染防止製品)とは真逆の発想から生まれたセキュリティ対策製品といえます。

EDR製品の特長は以下の3つがあげられます。

不正な挙動の検知・ウイルスの封じ込め

EDR製品ではマルウェアとして報告が挙がっているファイルやハッシュ値をすべてのPCに対して検索を実施し、従来のエンドポイントセキュリティ製品で検知できなかったマルウェアが存在するPCを特定することができます。

また、振る舞い検知や機械学習等の機能によって未知のマルウェア感染を素早く検知し、感染端末やマルウェアのリモート隔離機能によって、セキュリティインシデントをエンドポイントに封じ込めることができます。

これにより、業務停止時間の長期化を防ぐことができます。

調査

EDR製品を使用し、エンドポイント上で発生した多数のイベント情報をくまなく記録することで、「今、PCや社内ネットワーク上で何が発生しているか」を可視化することができ、「時系列で詳細に確認」することができます。

可視化されたセキュリティログからは、対策に必要な以下のような情報を特定することが可能です。

  •  誰が、どこから侵入・感染したか。
  •  利用された手法・ウイルスは何か。
  •  攻撃の経路はどこか。
  •  影響の範囲はどこまでか。
  •  情報漏洩の可能性はあるか。

対策

調査で得られた情報をもとに隔離したマルウェアなどを駆除することで、最小限の被害でシステムの復旧が可能となります。

エンドポイントでファイルがランサムウェアなどにより暗号化されてしまった場合に、ロールバック機能を使用することでファイルをもとの状態に復旧する機能を持つEDR製品もあります。

そのため、セキュリティ知識の低い人でも容易に対処することができ、インシデント発生から復旧までの時間を短縮できます。

まとめ

EDR製品の中には、クラウド上に集約されたウイルス情報をもとに機械学習をさせ、人工知能(AI)が常にエンドポイントを監視し不審な端末を即時隔離する製品など様々な機能を備えた製品があります。

セキュリティ担当者はEDRにどこまで求めるかを検討して、自社のセキュリティ対策に必要な製品を見極めて選定をする必要があります。

また、EDRはあくまでセキュリティリスク発生時の事後対策となるため、従来の予防対策と併せて対策を行うことで、より強固なセキュリティ対策を行うことができます。

企業のセキュリティ対策は必須でありながらも、対人間の行う悪徳行為により、新しいウイルスは生まれ続けます。

新しいウイルスに対する後追いソフトで対策を行うには限界があり、膨大なセキュリティに関する知識をもった人材を育成するにはそれなりの時間が必要です。

感染後の対応を簡素化できるEDR製品を取り入れることで、セキュリティリスクの低減をめざしてはいかがでしょうか。

セキュリティ対策に関して、ご不明な点などぜひご相談ください。

前の記事

「Hyper-V」で作成した仮想マシンの性能を計ってみた!

次の記事

RHEL8 & Red Hat Insights の…