SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 春の陣レポート(AD)

効率的な「アタックサーフェス管理」製品選定に必要な3つのポイント、コスト抑制とリスク軽減を両立する

注力すべきエンドポイントとユーザーアカウント、どう守る?

効率の良い「エンドポイント対策」 持つべき“3つの視点”とは?

 エンドポイントセキュリティにフォーカスしたとき、“効率良く”セキュリティ対策を実施するためには「エージェントが導入された端末は適切に守られているか」「守るべき端末すべてにエージェントが導入されているか」「できる限り工数やコストをかけずにエージェントを管理できるか」の3つが焦点となる。

[画像クリックで拡大]

ポイント1:エージェントを導入した端末は適切に守られているのか

 エンドポイントセキュリティにおいて確認すべき重要な機能は4点ある。1点目は「脆弱性の可視性」だ。脆弱性を可視化するために、エンドポイントセキュリティとは別のエージェントやモジュールを追加しなくてはいけない製品も存在する。だからこそ、管理や運用面を考慮して、エンドポイントセキュリティと可視化の両方が1つのエージェントで実現できることは重要だ。

 なお、脆弱性の可視化において、脆弱性が確認された日、パッチが公開された日、脆弱性が悪用された攻撃が確認された日など、時系列で詳細を確認できる機能があると望ましい。どの脆弱性から優先的に対応すべきか、その判断材料となる情報を単一コンソールから確認できると運用を効率的にしてくれるからだ。

 2点目は認証情報を悪用した攻撃の検知と防御だが、昨今のエンドポイントセキュリティではEPPやEDRは当然のように実装されている。その一方、認証情報を悪用した攻撃は正規ユーザーの行動と区別しにくいため、検知が難しい。熟練のアナリストを育成したり、外部SOCを契約したりすることも可能だが、相応のコスト負担は覚悟しなければならないだろう。

 予算が限られている中でコストを抑えたいなら、認証情報を狙った偵察行為や水平移動(ラテラルムーブメント)を検知できるエンドポイント製品が望ましい。たとえば、ポートスキャンなどのネットワーク偵察行動をはじめ、エンドポイントに保存されている資格情報を狙う攻撃を検知し、防止できる機能があるのかを確認すべきだ。

 3点目は不正プログラム検知時の自動隔離。エンドポイントセキュリティ製品には、端末隔離やネットワーク遮断を手動で行わなくてはならない製品もある。そのためエンドポイントで不正プログラムを検知したら、自動的に端末隔離やネットワーク遮断を実施できる機能があるのかを確認すべきだろう。

 4点目はランサムウェア攻撃からの復元だ。ランサムウェア攻撃によりデータを暗号化された場合、有効なバックアップがなければ身代金を支払って復号させたり、端末を初期化させたりなど、工数のかかる回復作業を手動で行わなくてはならない。そのためランサムウェア攻撃を検知し、万が一ファイルが暗号化されたとしても管理コンソール経由で速やかにファイルの復旧処理を実行できる機能は重要だ。

ポイント2:守るべき端末すべてにエージェントが導入されているか

 管理端末におけるエージェント導入状況を確認する上で、実装されていると望ましい機能は次の4点になる。

 1点目は、保護されていない端末の検出や可視化だ。エージェント導入済みの端末を管理コンソールから確認できても、導入されていない端末を検出するためには別のツールが必要になる場合がある。だからこそ、製品コンソールからネットワーク接続している端末を可視化できる機能が重要だ。このときエージェント導入の有無だけではなく、デバイスの種類やOSなどの詳細情報もわかることが望ましい。

 2点目は端末のラベル付け。上記で可視化された端末においてエージェントを導入済みなのか、これから導入が可能な端末なのかなど、管理を効率化するラベル付けが自動的に行われると安心だろう。

 3点目はエージェント未導入端末への容易なインストールだ。管理コンソールから未導入端末に対してリモートでインストールできれば、運用の負荷軽減につながる。たとえば、リモートインストールはできるが、各端末がインターネット経由でインストール用モジュールをダウンロードする製品も存在する。端末が大量にある場合、ネットワーク回線に負荷をかけてしまいかねないため、エージェント導入済み端末からピア・ツー・ピアでエージェントを展開できるかどうかも確認したい。

 4点目はエージェント未導入端末の通信制御。ネットワークに管理対象外のデバイスが存在してしまうと不正アクセスなどの温床になりかねない。管理対象外の端末からの通信をブロックするなどのポリシー設定が可能かどうかは重要だ。管理対象外端末の通信を制御できれば、不正アクセスや情報漏えいなどの防止にもつなげられる。

次のページ
コストや工数をかけずにエージェントを管理する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:SentinelOne Japan 株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19463 2024/04/03 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング