効率の良い「エンドポイント対策」 持つべき“3つの視点”とは?
エンドポイントセキュリティにフォーカスしたとき、“効率良く”セキュリティ対策を実施するためには「エージェントが導入された端末は適切に守られているか」「守るべき端末すべてにエージェントが導入されているか」「できる限り工数やコストをかけずにエージェントを管理できるか」の3つが焦点となる。
ポイント1:エージェントを導入した端末は適切に守られているのか
エンドポイントセキュリティにおいて確認すべき重要な機能は4点ある。1点目は「脆弱性の可視性」だ。脆弱性を可視化するために、エンドポイントセキュリティとは別のエージェントやモジュールを追加しなくてはいけない製品も存在する。だからこそ、管理や運用面を考慮して、エンドポイントセキュリティと可視化の両方が1つのエージェントで実現できることは重要だ。
なお、脆弱性の可視化において、脆弱性が確認された日、パッチが公開された日、脆弱性が悪用された攻撃が確認された日など、時系列で詳細を確認できる機能があると望ましい。どの脆弱性から優先的に対応すべきか、その判断材料となる情報を単一コンソールから確認できると運用を効率的にしてくれるからだ。
2点目は認証情報を悪用した攻撃の検知と防御だが、昨今のエンドポイントセキュリティではEPPやEDRは当然のように実装されている。その一方、認証情報を悪用した攻撃は正規ユーザーの行動と区別しにくいため、検知が難しい。熟練のアナリストを育成したり、外部SOCを契約したりすることも可能だが、相応のコスト負担は覚悟しなければならないだろう。
予算が限られている中でコストを抑えたいなら、認証情報を狙った偵察行為や水平移動(ラテラルムーブメント)を検知できるエンドポイント製品が望ましい。たとえば、ポートスキャンなどのネットワーク偵察行動をはじめ、エンドポイントに保存されている資格情報を狙う攻撃を検知し、防止できる機能があるのかを確認すべきだ。
3点目は不正プログラム検知時の自動隔離。エンドポイントセキュリティ製品には、端末隔離やネットワーク遮断を手動で行わなくてはならない製品もある。そのためエンドポイントで不正プログラムを検知したら、自動的に端末隔離やネットワーク遮断を実施できる機能があるのかを確認すべきだろう。
4点目はランサムウェア攻撃からの復元だ。ランサムウェア攻撃によりデータを暗号化された場合、有効なバックアップがなければ身代金を支払って復号させたり、端末を初期化させたりなど、工数のかかる回復作業を手動で行わなくてはならない。そのためランサムウェア攻撃を検知し、万が一ファイルが暗号化されたとしても管理コンソール経由で速やかにファイルの復旧処理を実行できる機能は重要だ。
ポイント2:守るべき端末すべてにエージェントが導入されているか
管理端末におけるエージェント導入状況を確認する上で、実装されていると望ましい機能は次の4点になる。
1点目は、保護されていない端末の検出や可視化だ。エージェント導入済みの端末を管理コンソールから確認できても、導入されていない端末を検出するためには別のツールが必要になる場合がある。だからこそ、製品コンソールからネットワーク接続している端末を可視化できる機能が重要だ。このときエージェント導入の有無だけではなく、デバイスの種類やOSなどの詳細情報もわかることが望ましい。
2点目は端末のラベル付け。上記で可視化された端末においてエージェントを導入済みなのか、これから導入が可能な端末なのかなど、管理を効率化するラベル付けが自動的に行われると安心だろう。
3点目はエージェント未導入端末への容易なインストールだ。管理コンソールから未導入端末に対してリモートでインストールできれば、運用の負荷軽減につながる。たとえば、リモートインストールはできるが、各端末がインターネット経由でインストール用モジュールをダウンロードする製品も存在する。端末が大量にある場合、ネットワーク回線に負荷をかけてしまいかねないため、エージェント導入済み端末からピア・ツー・ピアでエージェントを展開できるかどうかも確認したい。
4点目はエージェント未導入端末の通信制御。ネットワークに管理対象外のデバイスが存在してしまうと不正アクセスなどの温床になりかねない。管理対象外の端末からの通信をブロックするなどのポリシー設定が可能かどうかは重要だ。管理対象外端末の通信を制御できれば、不正アクセスや情報漏えいなどの防止にもつなげられる。
