TCOも考慮してセキュリティ対策製品を選ぶ
5つ目の間違いは、「EPPは悪意ファイルの処理だけできればいい」というもの。EPPは、ファイルの中に脅威が潜んでいるか、ファイルそのものが脅威かをハンドリングできればいいとの考え方だ。実際はファイルだけでなく、攻撃は様々な形で行われる。たとえばUSBメモリを媒体とする攻撃があり、特定のセキュリティホールを突くものもある。それらはOSなどへのパッチマネジメントでカバーするしかない。そのためエンドポイントセキュリティにおいては、ファイルハンドリングだけでなくOSはもちろん、その上のアプリケーションも含めパッチマネジメントを正しく行う必要がある。
間違いの6つ目は、「Web保護はUTMで行っているのでエンドポイントはいらない」というもので、ある大手の企業で実際にあった話を紹介した。有名なEDR製品とNGAV(Next Generation Anti-Virus)を利用していても、サポート詐欺の被害に遭ってしまったのだ。この例では、あるURLをクリックしたら「PCデバイスがウイルスに感染しているので電話をしろ」とのポップアップメッセージが出る。電話をすると、リモート操作ツールをインストールさせられてしまう。その上で、不安を煽り対策のためのお金を請求するのだ。これに対してはたとえば、金融機関のサイトにアクセスすると詐欺の注意喚起をするポップアップメッセージが出るようにする仕組みを、ウィズセキュアでは提供している。
そして「何かあったらMSS(マネージドセキュリティサービス)で対応するので手動隔離だけあればいい」が、7つ目の間違いだ。「Web通信におけるセキュリティ対策も非常に重要です。どのEDR製品もリモートからデバイスを隔離する機能を提供していますが、多くが手動での隔離しかできません」と平澤氏。24時間誰かが監視していて、危険が迫った際に手動で隔離することはできるかもしれない。しかしながら、人が判断するとなればタイムラグが発生する。ウィズセキュアではタイムラグを最小化し、脅威がある閾値を超えたら自動的に隔離することが可能だという。
間違いの8つ目は「機能が増えればエージェントの数はいくつあってもいい」だ。エージェントの数が増えれば増えるほど、メンテナンスの機会は増える。メンテナンスの機会が増えれば、その対応作業が増えてコスト増につながる。エンドポイントを適切に保護するため、またはメンテナンスをしっかり行うためには、できるだけそういった負担は減らすべきだ。
「管理コンソールが別々でも構わない」が、9つ目の間違いだ。製品によっては、EPPはクラウドベースで、EDRはオンプレミスの管理コンソールのものがある。両方ともクラウドベースでも、それぞれでコンソールが異なるケースもある。このようにバラバラでは余計に工数が発生することとなり、結果的にユーザーは統合管理ができる製品を後から求めることに。それであれば、最初から統合化された管理コンソールの製品を採用することが望ましい。
最後の間違いが「ライセンス料金が安ければいい」だ。もちろんライセンス料金は安いほうがいいが、“ライセンス費用だけ”がセキュリティ対策に必要なコストではない。EPP、EDRを提供しているベンダーについては「テクノロジー側面で見ればものすごく大きな差があるわけではありません」と平澤氏。そうであるならば、たとえば5年間のTCO(Total Cost of Ownership:総保有コスト)が低いかどうかが重要な見極めポイントとなる。TCOは、ライセンス費用だけでなく誤検知、過検知が少ないことでハンドリングが減るなど、全体のコストを見る必要があるのだ。
