「エンドポイントセキュリティ」は標的型攻撃とインシデントレスポンスが変える「エンドポイントセキュリティ」再浮上のなぜ【第1回】(1/2 ページ)

ネットワークセキュリティベンダーや新勢力のベンダーが、相次いでエンドポイントセキュリティ市場に参入している。なぜ今、エンドポイントセキュリティを取り巻く動きが活発化しているのか。

2016年01月26日 08時00分 公開
[阿部淳平, 松尾咲季ネットワンシステムズ]

 サーバやクライアント端末といった社内デバイスの末端を保護する「エンドポイントセキュリティ」。最近、その動きが活発化している。

 エンドポイントセキュリティ自体は目新しいものでない。インターネット黎明(れいめい)期から、マルウェア対策ソフトウェアをはじめ、エージェントをクライアントやサーバ端末に導入するタイプのセキュリティ製品が存在した。主なベンダーは、老舗ベンダーの米Symantec、トレンドマイクロ、ロシアKaspersky Lab、米Intelのセキュリティ事業部門Intel Security(McAfee)などそうそうたる顔ぶれだ。実際、IT製品分野ごとのベンダーの位置付けを分類した米調査会社Gartner「マジック・クアドラント」の各分野でリーダーポジションに君臨するベンダーも少なくない。

 つい最近まで飽和状態だといわれていたエンドポイントセキュリティ市場。だが近年、ネットワークセキュリティの大手ベンダーが次々とこの市場に参入し始めた。一例を挙げると、米Palo Alto Networks、米Cisco Systems、米Fortinet、イスラエルCheck Point Technologies、米FireEyeなど、こちらもキープレイヤーばかり。さらに、FFRIや米Tanium、米Confer Technologies、米CrowdStrikeなど、この分野のノウハウを持ったエキスパートが集う新勢力の立ち上がりも好調である。

 再び活気づくエンドポイントセキュリティ。その理由は、近年需要が高まりつつある2つのニーズによるところが大きい。1つ目は、標的型攻撃に代表される高度なサイバー攻撃への対処。2つ目は、インシデントレスポンスへの活用だ。

ニーズ1:高度なサイバー攻撃への対策

 高度なサイバー攻撃への対処のニーズが、なぜエンドポイントセキュリティの注目度向上につながるのか。その理由を説明する前に、まずは過去のセキュリティ要件から現在に至るまでの流れを振り返ってみよう。

標的型攻撃の登場で「ゲートウェイセキュリティ」に脚光

 企業のセキュリティを担保するための投資は最近まで、主にインターネットとLANの境界を守る「ゲートウェイセキュリティ」に向けられてきた。国内で標的型攻撃が猛威を振るい始めた2011年ごろに盛んに言われていた「入口対策」「出口対策」は、まさにこのゲートウェイセキュリティを指すことがほとんどだった。

 2011年に情報処理推進機構(IPA)が刊行した「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」では、ネットワーク型マルウェア対策、侵入防御システム(IPS)、ファイアウォールでの入口対策に加え、プロキシサーバとファイアウォールを駆使した出口対策という組み合わせを推奨していた。当時はこのガイドの内容を受けて、複数の異なるセキュリティ機能を1つのハードウェアに収めた「統合脅威管理」(UTM)、UTMの性能を改良して新たにアプリケーションの可視化と制御を可能にした「次世代ファイアウォール」の導入が、セキュリティ対策の主流となった。

 一方、当時のエンドポイントセキュリティについては、ノートPCやUSBメモリ紛失による情報漏えいに加え、従業員のセキュリティモラルに起因する事件・事故を受けた対策が急務とされていた。ただし具体的な対策については、ネットワーク型マルウェア対策やIPSなどと同じく、シグネチャのパターンマッチング(シグネチャマッチング)による検知を中心とした、従来通りのエンドポイント型マルウェア対策が主流だった。

「ゼロデイ」「暗号化通信」でゲートウェイ/シグネチャベース対策が限界に

 ゲートウェイセキュリティとシグネチャマッチングによるこうした対策は、「ゼロデイ攻撃」をはじめとする未知の攻撃の普及とともに不十分だと言われ始めた。ゼロデイ攻撃とは、OSやWebブラウザ、ソフトウェアなどに含まれる脆弱(ぜいじゃく)性を悪用し、セキュリティパッチが提供される前にデバイスをマルウェア感染させる手法である。国内でも2013年前後、急激に被害件数が増加。ジャストシステムのワープロソフト「一太郎」の脆弱性を狙ったゼロデイ攻撃など、明確に国内企業をターゲットとした攻撃も増えてきた。

 ゼロデイ攻撃が厄介なのは、シグネチャマッチングによる検出が困難なことだ。これは従来のIPSやネットワーク型/エンドポイント型マルウェア対策などの検査をすり抜けてしまうことを意味する。実際、ここ数年は攻撃の6割以上が、シグネチャマッチングをすり抜ける未知の攻撃であるといわれている。主要なマルウェア対策ベンダーであるMcAfeeやSymantecでさえも、シグネチャマッチングに基づく検査には限界があると認めている。

 こうしたゼロデイ攻撃に対して、有効な対策だと考えられたのが「サンドボックス」だった。サンドボックスは、エンドユーザーが自分のクライアントPCでファイルを起動する前に、クラウドまたはセキュリティ装置の仮想環境でファイルを実行し、その振る舞いを確認することで、悪質なプログラムか否かを検知できるようにする仕組みである。

 サンドボックス専用製品でセキュリティ市場に名乗りを上げたFireEyeを筆頭に、多くのセキュリティベンダーがこぞって自社製品にサンドボックス機能を取り入れた。だが、これにも抜け道があることが知られてきた。マルウェアがサンドボックスの中で起動したことを検知すると悪意のある行動を抑制するといった「サンドボックス回避テクニック」が、攻撃者の間で知られてきたのである。

 ゼロデイ攻撃に加えて悩ましいのが、暗号化通信技術「SSL/TLS」で暗号化された通信の増加だ。本来はセキュリティを高めるための暗号化通信だが、その中にマルウェアを隠して送り込む手法が増えている。これにより、どんなに優れたIPSやマルウェア対策、サンドボックスを導入していても、SSL復号という負荷の掛かる処理をしない限り、検知処理の多くが迂回(うかい)されてしまう。

 未知の脅威と暗号化通信の背後に潜む脅威については、現在の最新の技術をもってしても、ゲートウェイセキュリティで完全に防御することは難しく、サーバやクライアント端末まで到達する可能性が高い。データの破壊や流出といった被害を食い止めたり、感染の拡散を防いだりするためには、エンドポイント側でも何らかの対処をすべきなのではないか――。そのことに着目したセキュリティベンダーを中心に、エンドポイント側での感染予防や感染後の対処を目的とする新しいエンドポイントセキュリティ技術が生まれつつあるのだ。

ゲートウェイセキュリティをすり抜ける攻撃の例 図 ゲートウェイセキュリティをすり抜ける攻撃の例《クリックで拡大》

Copyright © ITmedia, Inc. All Rights Reserved.

       1|2 次のページへ

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 株式会社大塚商会

バックアップデータもランサムウェアに狙われる時代、今求められる対策とは?

情報セキュリティにおいて、ランサムウェアは最大級の脅威だ。バックアップはランサムウェア対策の最後の砦ともいえるが、昨今はバックアップデータへの攻撃も目立ってきた。そこで、ストレージによる対策のアプローチを紹介する。

製品資料 日本ヒューレット・パッカード合同会社

脅威の一歩先を行く対策を、エッジからクラウドまで網羅するデータセキュリティ

データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。

製品資料 日本ヒューレット・パッカード合同会社

AIの力を得てランサムウェア攻撃が巧妙化、組織を守る方法とは?

一時期減少したランサムウェア攻撃が再び増加傾向にあるという。攻撃者がAIの力を得て、手口をさらに巧妙化させているためだ。防御側の組織もセキュリティ対策としてAIを取り入れているものの、攻撃者に対して後手に回ってしまっている。

製品資料 日本ヒューレット・パッカード合同会社

分散環境のセキュリティ&コンプライアンス強化、SASEとSD-WANはどう貢献する?

ワークロードのクラウド移行が進むにつれ、企業はセキュリティやコンプライアンスに関する新たな課題に直面している。そこで注目されるのが、Secure Access Service Edge(SASE)とSD-WANの活用だ。5つの視点から、その効果を解説する。

製品資料 日本ヒューレット・パッカード合同会社

エッジからクラウドまでの安全を確保、ゼロトラスト/SASEの実装法を解説

ITシステムの分散化は、多様な働き方を可能にする一方で、サイバーセキュリティの脅威も高めてしまう。そこで、新たなセキュリティアプローチとして注目されているのが、ゼロトラストおよびSASEだ。どのように導入すればよいのか。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/15 UPDATE

  1. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  2. 譌・譛ャ縺ァ繧ょッセ遲悶′驕�l繧九€後≠縺ョ萓オ蜈・邨瑚キッ縲阪′諤・蠅冷€補€墓判謦�げ繝ォ繝シ繝励�豢サ蜍募ョ滓�
  3. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  4. IPA縲梧ュ蝣ア繧サ繧ュ繝・繝ェ繝�ぅ10螟ァ閼�ィ√€阪r蜊倥↑繧九Λ繝ウ繧ュ繝ウ繧ー縺ァ邨ゅo繧峨○縺ェ縺�婿豕�
  5. 縺ゥ繧後□縺代〒縺阪※縺�k�溘€€縺セ縺輔°縺ョ縲後ョ繝シ繧ソ豬∝�縲阪r髦イ縺絶€�11蛟九�隕∫せ窶�
  6. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�
  7. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ョ蜊頑焚莉・荳翫′窶懊≠縺ョ萓オ蜈・邨瑚キッ窶昴r謔ェ逕ィ窶補€戊ヲ矩℃縺斐&繧後◆繝ェ繧ケ繧ッ縺ィ縺ッ��
  8. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ォ謔ェ逕ィ縺輔l縺溪€弩indows縺ョ遨エ窶昴→縺ッ�溘€€繝代ャ繝√〒逶エ繧峨↑縺�ф蠑ア諤ァ繧�
  9. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  10. 蟆主�貂医∩縺ョ縲郡ASE縲崎ヲ狗峩縺励b�溘€€繝阪ャ繝医Ρ繝シ繧ッ繧サ繧ュ繝・繝ェ繝�ぅ縺ョ窶�3螟ァ蜍募髄窶�

「エンドポイントセキュリティ」は標的型攻撃とインシデントレスポンスが変える:「エンドポイントセキュリティ」再浮上のなぜ【第1回】(1/2 ページ) - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。