fbpx

EPPとは?EDRとの違いや必要性、NGAVの注意点まで広く解説

  • このエントリーをはてなブックマークに追加

EPPとは?

EPP(Endpoint Protection Platform)は、スマートフォンやPCなど業務に利用するデバイス機器をエンドポイントと位置づけ、エンドポイント脅威やマルウェアから防ぐためのセキュリティソリューションです。

EPPは、エンドポイント内に侵入して情報資産を盗もうとする外部からのマルウェアや脅威を検知・駆除します。従来のファイアウォールやIDS/IPS検知システムだけでは、ネットワーク内の脅威侵入を防ぐことが困難になりつつあります。

社外からのアクセス機会とスマートフォンやタブレット端末などのデバイス機器の増加により、エンドポイント個々での対策も重要になってきました。近年では、アプリやシステム上の脆弱性を突いた脆弱性攻撃やWindowsのPowershell機能を利用したファイルレス・マルウェアなど、サイバー攻撃の手法が巧妙化してきました。

エンドポイント対策が必要になった3つの理由

社外のアクセス機会増加、従来の境界線型ネットワークとVPNが抱えている課題が挙げられます。

社外からのアクセス機会増加

働き方改革に伴い、在宅勤務やリモートワークといった場所を問わない働き方が増えてきました。企業にとって多様な働き方を認めることは、優秀な人材の流出防止、地域に囚われない能力だけを優先した人材採用、オフィス賃料のコストカットといった様々なメリットがあります。

社員にとっても、結婚や育児を控えても仕事を続けられる、通勤によるストレス蓄積や体力消耗の回避などのメリットがあります。双方にとってメリットが多いので、今後も社外でのアクセス機会は増加するでしょう。

そのため、従来の境界線型セキュリティモデルであった社内と社外を明確に区分けする必要性が薄れてきました。今後は場所に関係なく安心して作業ができるネットワーク環境が求められています。

境界線型セキュリティモデルの課題

従来の境界線型セキュリティモデルでは社内と社外で場所を明確に区切り、「社内からのアクセス=安全」、「社外=危険」との考え方で、セキュリティ対策を行っていました。そのため、「社内ネットワークへいかに脅威の侵入を防ぐか」といった点に、重点が置かれています。

ですが、サイバー攻撃の多様化や社外からのアクセス機会の増加により、マルウェアや脅威の侵入を防ぐことが困難になりつつあります。同時に、境界線型セキュリティモデルでは「社内ネットワークに脅威が侵入後、素早く対処を行う」といった視点での対策に、課題を抱えていました。つまり、社内ネットワークに脅威が侵入した場合は自由に行動ができるため、被害の拡大と業務の停滞を招きます。

実際、日本企業のサイバー攻撃による情報漏洩の被害総額は、2014年~2018年にかけて2億円以上の損害を記録しており、セキュリティ対策の新たな構築が必要な状況です。こうした背景から、いわゆるゼロトラストネットワークという考え方も生まれています。

企業のテレワークを支えているVPNに課題

現在、社外からのテレワークを実現するために多くの企業で利用されているのは、VPN(Virtual Private Network)と呼ばれる仮想ネットワークです。
VPNは特定の拠点間をつなぐためのもので、互いの拠点にルーターと仮想の専用線を敷いて通信を実現しています。

VPNは通信のやりとりが全て暗号化され、比較的低コストで導入できるメリットがありますが、一方で通信の安定性や脆弱性といった部分に課題を残しています。一つ一つみていきましょう。

通信が不安定

社外からアクセスする際には、VPNゲートウェイと呼ばれる専用の侵入口を必ず経由して、社内ネットワークに侵入します。VPNゲートウェイは1か所しか設置されません。

そのため、ユーザーのアクセス地点、VPNゲートウェイの設置位置、社内ネットワークの位置が離れていると、複数のネットワークを経由してアクセスする場合があります。

遠回りの通信経路になるため、ユーザーのアクセス地点によっては、通信速度の低下や通信が途切れるといった通信障害が起こります。通信の暗号化という観点ではHTTPSも同様ですが、インタネットに比べるとVPNは通信がやはり不安定です。

脆弱性に課題

VPNゲートウェイは社外からのアクセスを受け付けるために、広く社外に公開されています。攻撃者からも侵入口が見えやすく、不正アクセスのリスクが高い状態です。

実際、VPNのネットワーク上の脆弱性を突く被害は多発しており、日立化成や住友林業などの企業が被害に遭い、テレワーク接続に必要な情報を盗まれています。

また、使用しているVPNのベンダーが脆弱性を発表した場合は、すぐに修正プログラムを配布する必要があります。攻撃者からゼロデイ攻撃を受けるリスクがあるからです。ゼロデイ攻撃は脆弱性を修正したプログラムを適用する前に、脆弱性を突いた攻撃を繰り返すことです。企業にとって最も深刻なダメージを受けるサイバー攻撃の1つであり、管理者にとっては復旧作業に多くの時間がかかります。

スケーラビリティが低い

スケーラビリティはシステムの負荷や用途が拡大しても、柔軟に対応できるかどうかを意味します。つまり、ユーザー数やクラウド機器が増えても、安定して稼働できる能力があるかといった意味です。

VPNの場合はネットワーク機器のリソース消費が多く、VPN導入後のユーザー数増加には限度が残ります。キャパシティ以上のユーザー数となった場合は、頻繁に通信速度の低下や通信障害を招くからです。

ユーザー数の急激な増加に対応するためには、新たなVPN製品の導入が必要です。自社の利用状況に合わせた適切なサイジングのVPNを選ぶ必要があり、スケーラビリティにはやや欠ける印象です。

EPPの機能を保有している製品とは?

EPPの機能を保有している製品例としては、アンチウィルスソフトが挙げられます。アンチウイルスソフトの特徴を振り返りましょう。

アンチウイルスソフト

アンチウイルスソフトはPC内のセキュリティ監視を行い、ウイルスの検知・駆除を行います。ウイルスソフトをインストールしていないPCがウイルス感染した場合は通信速度の低下、操作の途中でシャットダウンや再起動が勝手に作動されるといった動作不良が起こります。

ウイルスソフトの仕組みは、パターンマッチング方式が従来の主流でした。パターンマッチング方式は、ウイルスが持つ特徴的なコードをパターン化してデータベースとして記憶させ、蓄積されたデータの中からウイルスが含まれているかを検出する方法です。

既出のウイルス検知には強い一方、データベースに特徴が記憶されていない未知のウイルスや脆弱性を突く攻撃には課題を残していました。攻撃者側は技術や知識を日々向上させており、近年は既出のマルウェアにオリジナル要素を含んだウイルスをミックスさせる攻撃も増えています。そのため、近年は人工知能(AI)や機械学習を利用したNGAV(Next Generation Anti-Virus)と呼ばれる次世代アンチウイルスにシステム方式が変更されています。

NGAVとは?

NGAVは、エンドポイント内におけるマルウェアに似た動きや特徴を持った全ての異変に対し、検知と駆除を行います。データベース上に登録されていない未知のマルウェアに対しても、過去に学習したマルウェアやウイルスの特徴や類似点を自動比較し、少しでも異変を感じた場合は検知します。

従来のウイルスソフトと異なり、未知のマルウェアを使って機密情報を狙うサイバー攻撃の予防に優れています。

EPPやNGAVの注意点

外部からのマルウェア感染やサイバー攻撃のリスクを軽減するEPPやNGAVですが、100%エンドポイント内に脅威の侵入を防ぐことはできません。例えば、WindowsのPowershell機能を用いたファイルレス・マルウェアは、通常のマルウェアと異なりデータ保存やダウンロードを行わないため、通常の行動との見分けがつきにくいです。

また、ターゲット対象のWebサイトやサーバーになりすまして、大量の負荷をかける攻撃を繰り返してシステムダウンに追い込むDDoS攻撃も予兆を感じさせないサイバー攻撃です。

全ての脅威を完全に防げるわけではありません。
そして、EPPやNGAVはエンドポイントを外部の脅威から守るセキュリティツールです。
エンドポイント内部に侵入された後、いかに被害を最小化するかといった機能は搭載されていないので、別のセキュリティツールの導入が必要になります。

EPPとEDRの違いは?

EDR(Endpoint Detection and Response)はエンドポイント内のセキュリティ監視を行い、マルウェアや異変を検知した場合は素早く管理者に知らせ、脅威を与えるマルウェアを隔離します。
EDRはマルウェアや脅威が侵入した感染経路の把握・分析機能も持っており、二次災害を防ぎます。

EPPと同様にエンドポイントでのセキュリティ対策を行うツールではあるものの、EDRはエンドポイント内に脅威が侵入した後に被害を最小化することが主な役割です。

EPP EDR
役割
  • エンドポイント内に侵入する脅威やマルウェアをブロック
  • エンドポイント内のセキュリティ監視
機能
  • 未知・既知のマルウェアを検知・駆除
  • マルウェアの攻撃をブロック
  • マルウェアや脅威の検知・隔離
  • 感染経路の特定
  • エンドポイント内のアクティビティの可視化
導入効果
  • エンドポイント内のセキュリティレベルの向上
  • サイバー攻撃やマルウェア感染のリスク軽減
  • エンドポイント内のセキュリティレベル向上
  • セキュリティインシデントの被害を最小化
  • 二次災害を防ぐ

EPPとEDRはどちらも必要?

どちらも必要です。上記で述べたように、EPPはエンドポイント内への脅威の侵入を防ぐ機能に強みがあり、EDRはエンドポイント内の侵入後の対策や被害の最小化に強みがあります。

EPPだけ導入しても脅威がエンドポイント内や自社ネットワークに侵入した場合は、比較的自由に行動を許し、攻撃を受けた際の被害が拡がります。一方でEDRのみ導入しても、外部からの脅威を防ぐ機能に欠けているため、エンドポイント内の脅威となりうる対象が多すぎます。セキュリティ監視に多くの時間と労力を奪われるため、管理者の業務負担が増大します。

機密情報を守るには、サイバー攻撃やマルウェア感染の予防と仮に社内ネットワークに侵入された場合でも、被害の最小化を実現する機能がどちらも必要です。

EPPやEDRを導入する前に行うべき3つのこと

情報資産を守るためには、セキュリティ意識を高める行動が大切です。

セキュリティやマルウェアに関する知識や対策を学ぶ

マルウェア感染した場合に起こる症状や感染対策、情報漏洩が起きるとどうなるかいったことを学ぶことが大切です。セキュリティ意識の高さで行動が変わってくるからです。例えば、取引先や経営層を装った偽装メールによるサイバー攻撃や、取引先を意図的に経由するサプライチェーン攻撃が増えています。

文面を似せて本文に偽サイトのリンクを貼ったり、業務上使用頻度の高いエクセルやワードにマルウェアを仕込んだりして、ユーザーに警戒心を与えない工夫を攻撃者はしてきます。

セキュリティ意識が低いと、何の警戒もせずに偽サイトへの情報入力や添付ファイルを開いてマルウェア感染するリスクがあります。少しでも異変を感じたら、周囲の同僚や上司に相談や共有をすることが大切です。

定期的なアップデート

使用しているPCのOSやブラウザ、セキュリティソフトは最新バージョンを必ず使いましょう。古いバージョンのままだと、最新のマルウェアに対応できません。どんなに優れた製品を導入していてもフルに性能を発揮できない状態であるため、コストパフォーマンスに不満が残ります。

こちらのページもご覧ください。クラウドサービスで利用されていないサービスやIDの特定方法をご紹介します。

アクセス制限の設定

社員に対して業務で使用するデータファイルと外部のWebサイト閲覧を制限・禁止します。必要最低限の閲覧範囲に留めることで、内部流出とマルウェア感染のリスクを軽減できるからです。例えば、あなたが営業部に所属していたとしましょう。業務に必要な顧客データ、売上実績、見積書などに関するデータファイルは閲覧できますが、人事部が利用する従業員データや労働時間管理データなどは閲覧できません。

社外にデータを持ち出しする抑止力となるだけでなく、仮に情報流出が起きた際は素早く犯人を特定できます。特にテレワークの導入で、従来のオフィスであった監視の目が無くなっています。給料や社内での待遇に不満を持つ社員が、金銭的見返りや企業にダメージを負わせるために、情報流出を行っても不思議ではありません。

また、業務上関係ない外部のWebサイトの閲覧を禁止することで、マルウェア感染のリスクを軽減します。セキュリティ保護がされていないWebサイトは、攻撃者の用意した偽サイトである可能性もあり、情報漏洩につながるからです。些細な行動で情報漏洩のきっかけを作らないよう、アクセス制限は重要な対策の1つです。

情報資産を企業全体で守る

どんなに優れたセキュリティツールを導入しても、ツールを運用して情報資産を守るのは人間です。社員から経営層が一丸となって情報資産を守らなくてはなりません。

そのためには、日ごろからセキュリティ対策への意識を高め、自社のセキュリティ環境を常にチェックすることが求められます。企業や組織全体で情報資産を守る仕組みづくりに取り組みましょう。

 

  • このエントリーをはてなブックマークに追加