見えないものは保護できない: エンドポイントセキュリティにおける可視性を得るには

企業は常にテクノロジーを活用して競争力を得てきましたが、現在進行中のデジタル変革により、かつてないほどネットワークが拡大しています。このように複雑性が増大すると、新たな攻撃ベクトルや、ネットワーク上で実行されているデバイスやサービスが標的のエクスプロイトを見落とす可能性があります。特にエンドポイントやIoTセキュリティにおいてそれが問題視されてきました。現代のネットワークでは、企業リソースにアクセスするユーザーデバイスや、スマートなコネクテッドデバイス(IoT)など、無数のエンドポイントが利用されています。また、その多くのエンドポイントは、企業によって完全にコントロールされているとは言えません。IoTやヘッドレスデバイスの場合、それらが企業の所有しているデバイスであっても、ITチームがファームウェアを管理できず、デバイスのセキュリティレベルや企業のセキュリティポリシーの遵守を追跡するという課題を抱えている可能性があります。

リスクの観点から、こうしたコネクテッドデバイスを特定して把握するためには、それらを発見、評価し、ネットワークのセキュリティコンテクスト内を継続的に監視できるセキュリティ管理システムを、ITチームが導入する必要があります。


エンドポイントがもたらす脅威

企業のネットワークやリソースは従来、外部ユーザーからは隔絶されていましたが、社員やパートナー企業、顧客がデータへのアクセスを要求し、様々なデバイスで外部からトランザクションを実行するようになったため、企業のものではないデバイスからのアクセスが可能になっています。企業リソースへのアクセスを要求するデバイスの数が増えて高度化が進んだことで、これらに費やされる組織のネットワークの帯域幅の割合が上がっています。コネクテッドデバイスの数は、2030年に1,250億台にのぼると予測されているため、この傾向は今後も続くでしょう。

その結果、コネクテッドデバイスはサイバー犯罪者たちの主な標的となり、検知を回避し、その後ネットワーク内を横方向に移動するよう設計されたマルウェアで、IoTやエンドポイントデバイスが感染させられるようになってきました。こうした攻撃で最も一般的なのは、アプリケーションの脆弱性につけ入る方法です。その際、Eメール内の悪意のあるリンクや添付ファイルをユーザーにクリックさせる、フィッシング攻撃が使われることも多々あります。ゼロデイエクスプロイトはニュースで取り上げられることが多いですが、実際に成功した攻撃の多くは既知の、パッチが適用されていない脆弱性を標的としています。リスク拡大に対する懸念は当然であり、当社の2018年第1四半期脅威動向レポートでは、15,071のマルウェア亜種が存在し、6,623の固有のエクスプロイトが世界各地でアクティブ状態にあることが報告されています。


エンドポイントセキュリティに対する可視性の欠如

エンドポイントデバイスをネットワークへの未許可の入口にしないために、セキュリティチームはデバイスが誰のものか、最後にアップデートされたのはいつか、現在のセキュリティステータスはどうなっているのか、もたらされる可能性のあるリスクにはどのようなものがあるか、などを把握しておく必要があります。見えないものを保護することはできません。しかし主に4つの理由から、これまで十分な可視性を得ることが困難とされてきました。

1. ITオーナーシップの欠如

企業ネットワークに接続するエンドポイントの多くは、正式な企業アセットではありません。こうしたデバイスはITチームの所有物ではないため、それらにアクセスしたり監視したりして、必要なアップデートやパッチを適用しているかを確認するのが困難です。そのため、脅威の影響を受けやすいだけでなく、ほぼ未知の脅威ベクトルとなり、ネットワーク全体のセキュリティに影響を及ぼします。

2. デバイスのモビリティ

モビリティも可視性を妨げる主な要因です。エンドポイントデバイスはこれまで、企業のファイアウォール内に隔離された企業所有のアセットでした。現在はモバイルユーザーやローミングデバイスが様々なアプリケーションを使用して企業リソースに接続し、企業データにアクセスしてトランザクションを実行しています。さらに、そうしたデバイスが物理的なリソースやクラウドベースのリソースにアクセスするうえで、VPNに接続する必要がなくなっています。2017年にPonemon Instituteが発行したレポート、「The Cost of Insecure Endpoints」では、こうしたデバイスが企業所有ではないネットワークリソースに接続する時間が長いことで、ITチームの可視性が大幅に低下していると報告されています。実際、IT専門家の2/3が、定期的にネットワークに接続するエンドポイントがネットワーク外で動作している際に、エンドポイントに対する可視性が得られないと述べています。

3. シャドーIT/シャドーIoT

社員は個人のスマートフォンやコンピュータから、あるいはITチャネルを通さないで割り当てられた企業所有のアセットにおいて、従来のアプリケーションやクラウドベースのアプリケーションを容易にインストールして実行できます。セキュリティチームがデバイスで実行される全プログラムへの可視性を得られないのであれば、結果的に生じる脅威を緩和したり、データや他の企業アセットの分散を制御したりする上での管理ができません。

4. 切り離されたエンドポイントセキュリティソリューション

これまで、エンドポイントセキュリティはセキュリティチームではなく、デスクトップチームの管轄とされる場合も多く、広範なネットワークセキュリティ戦略と切り離して捉えられてきました。しかし、エンドポイントは拡大したネットワークエコシステムの重要な要素になってきており、このアプローチでは可視性が制限されるだけでなく、重要な脅威インテリジェンスへのアクセスが欠如していることから、デバイスのセキュリティレベルを評価し、侵害された際に必要な措置を自動的に行う妨げとなります。


エンドポイント脅威の緩和

企業がセキュリティリスクを最小限に抑えながらコネクテッドデバイスのメリットを利用するためには、ネットワークにアクセスするデバイスに対する確かな可視性を得る必要があります。そうすることで、各エンドポイントに関するリスクのレベルを組織が評価できるようになり、リスクを最小限に抑えられるようになります。

各エンドポイントに対する十分な可視性を得るには、複数の段階のそれぞれで異なる情報を得る必要があります。

発見

第一段階では、接続しているエンドユーザー、IoTデバイスすべてを含む、ネットワークの主な特徴を見極める必要があります。これには、ネットワークにアクセスする人、接続されているデバイスの種類、インストールされているオペレーティングシステムやソフトウェア、未パッチの脆弱性をすべて把握することが含まれます。この工程は継続して行わなければなりません。エンドポイントや仮想デバイスはモビリティが高く、一時的であることも多いため、脅威ランドスケープは常に変化しているからです。

評価

アクセスの瞬間に収集したデバイスや脅威に関するインテリジェンスに基づき、組織はデバイスのセキュリティレベル、エンドポイントからもたらされるリスク、接続中における関連リスクの可能性を、リスクスコアリングのマトリックスを使って自動的に見極める必要があります。そこから、チームがリスクの修正方法を決定できるようになります。

継続的な監視

最初に特定した脅威を緩和したら、エンドポイントが常にセキュリティコンプライアンスの要件を満たしつつマルウェアに感染しないように、監視を続ける必要があります。これには、ネットワークの他の部分のセキュリティ制御を行いつつ、各デバイスから収集された脅威インテリジェンスを共有し、分散型ネットワークにおける保護とレスポンスに新たな層を追加することも含まれます。

統合型かつ継続的な自動セキュリティ対策が登場したことで、今までのエンドポイントセキュリティの在り方に改革が求められています。ネットワークにはコネクテッドデバイスがあふれています。インテリジェンスを効果的に共有し、保護を最大化するためには、ネットワーク上に配備されている他のセキュリティソリューションと、自動的に統合できるエンドポイント管理が必要です。

次世代のエンドポイント管理を導入する際に、こうした能力がさらに重要になるでしょう。実際にITセキュリティ専門家の19%が、現在のセキュリティソリューションの統合や自動化が制限されていることで、手動でプロセスを行わなければならず、攻撃のスピードについていけないと述べています。

フォーティネットのFortiClientは、こうしたニーズを満たすように設計されており、無数のデバイスに脅威インテリジェンスを自動で提供すると同時に、セキュリティエコシステムの他の部分との確実な統合を実現します。


最後に

ネットワーク上に存在するものを正確に把握し、それらに対する明確な可視性を得られなければ、組織はエンドポイントがもたらす脅威からの保護を行うことはできません。統合型かつ自動のセキュリティソリューションを実装することで、ITチームはエンドポイントの発見、評価、監視が可能になり、セキュリティとコンプライアンスを確保できるようになります。