現在、働き方改革や、新型コロナウイルスにより、多くの企業でテレワークの導入やサテライトオフィスの利用など、様々な場所で仕事が行われるようになってきました。

これまでの仕事のスタイルとは変わり、それぞれが別の場所で仕事をするようになったことで、会社PCの持ち出しなどが当たり前のように行われるようになりました。

会社PCが持ち出されることにより、紛失・盗難のリスクや在宅勤務中のインターネットへの直接接続によるウイルス感染などのリスクが高まります。

そこで今回は、スマホ・PCなどのエンドポイントのセキュリティ対策について考えていきたいと思います。

EPPとは

エンドポイントのセキュリティ対策としてEPPとEDRというものがあります。

EPP（Endpoint Protection Platform）はスマホやパソコンなどをマルウェアや他の脅威から防ぐためのソリューションです。従来のアンチウイルスソフトやファイアーウォールなどがこのソリューションの一種です。

EPPはそのマルウェアが持っている特徴的なコードをパターンとして所持しておき、検査対象となるファイルと比較をすることで、ウイルスを検出するパターンマッチング方式というのが一般的です。

しかしこのパターンマッチング方式には大きな欠点があります。それは、「未知のウイルスに対して対処ができない」ことです。未知のウイルスに対してはパターンを所持していないため、隔離できないケースが多々あります。

近年では、マルウェアの不審な動きを検知する「ふるまい検知」やAIによる機械学習により、疑わしいコードを学習することができるようになってはいますが、日々新たなマルウェアが作りだされる中で、全てのウイルスのコードを把握することや全てのマルウェアの侵入を防ぎきるということは困難です。

さらに製品によっては、通常業務をマルウェアの不審な行動と判断されるケースもあり、過剰検知を修正しながら運用をしていく必要があります。

EDRとは

一方で、EDR(Endpoint Detection and Response)はEPPではすべての攻撃を防ぎきれないという考えのもと、侵入されることを元にエンドポイント上での監視を強化し、標的型攻撃、ランサムウェアなどによるサイバー攻撃を検知して対応するソリューションです。

EDR関連製品には、ログを常時取得しておくことで、攻撃経路の特定を行うことができるものなどもあります。

EPPがウイルスの侵入を防ぐ入口対策として、EDRが侵入された際にも脅威を検出し、被害を最小限に抑える出口対策として機能を果たしています。しかしEDRも万能ではありません。

EDRは脅威を検知してそれを通知するソリューションです。そのため、通知を受けた人間側でマルウェアの対応を行わなければなりません。そのため多くの工数や、アナリストに解析を依頼するための高額な費用が発生します。

「復旧」の考え方

前述したようにEPPとEDRでは機能や狙いが大きく異なり、両製品の導入は重要ですが、本当にこの二つで大丈夫でしょうか？

例えば新種のワイパー型マルウェア（データ破壊が目的のマルウェア）が、EPPとEDRの対策を行っている企業のエンドポイントに攻撃を仕掛けてきた場合、EPPはウイルスとして認識することができませんが、EDRは被害を最小限にするために、エンドポイントをネットワークから隔離します。しかしこの場合、会社のファイルサーバー上のデータは守られますが、エンドポイントに保存されているローカルデータは防ぐことが出来ません。

エンドポイントの保護では、入口対策と出口対策に加え、データが壊されたとしても復元できる「復旧機能」が重要となります。これらすべての対策を行うことで、マルウェアの脅威からエンドポイントを保護することができるようになります。実際に米国立標準技術研究所(NIST)のサイバーセキュリティフレームワークでも、「特定」・「防御」・「検知」・「対応」・「復旧」がコア項目として取り上げられており、マルウェア攻撃を受けたとしても「被害を抑えて、早期に復旧させること」がサイバー攻撃に対する対処法として新しく認知され始めています。

https://www.ipa.go.jp/files/000071204.pdf

重要インフラのサイバーセキュリティを改善するためのフレームワーク：IPA 独立行政法人 情報処理推進機構

日本では、アンチウイルス製品などはほとんどの企業で導入されており、EDRも徐々に知名度を上げ、一部の企業では実装される段階まで来ています。しかし復旧という観点のエンドポイントバックアップは、ユーザーに任せっきりでシステムとして導入していないのではないでしょうか？

Druva inSync

Druva inSyncはエンドポイントのデータバックアップを行うSaaSソリューション製品です。保護対象はスマホ、PCからMicrosoft 365、G Suite、slack、Salesforceまでハードウェアだけでなくクラウドアプリケーションのバックアップとしても利用することが出来ます。

導入のためにハードウェアを購入する必要もなく、inSyncクライアントと呼ばれるエージェントソフトウェアをインストールすることで、ユーザーは特に設定や操作の必要もなく、管理者がWeb上の管理コンソール上で設定したバックアップ対象、スケジュールに従って自動的にバックアップを行います。そのため、ユーザーによるバックアップ忘れや手間を省くことができます。

inSyncの管理画面から管理者は全てのバックアップデータを確認することができます。長期的に保管することも可能なので、e-discovery対策としても利用することができます。

まとめ

今回はエンドポイントのセキュリティ対策について考えていきました。EPP、EDR、バックアップ全てがエンドポイントのデータ保護には重要となります。ぜひNISTの「特定」・「防御」・「検知」・「対応」・「復旧」を参考に、エンドポイントセキュリティについて考えてみてください。