MENU

エンドポイントセキュリティ

ゼロトラストセキュリティ導入記~今なすべきセキュリティ対策のコツ~

第7回
エンドポイントセキュリティ② サイバー攻撃への対策や端末の情報漏えい対策

ゼロトラストセキュリティ導入記の第7回。前回はエンドポイントセキュリティ導入のための準備ともいえる「セキュリティホールの再チェック」について紹介した。今回は具体的なアライドテレシスのエンドポイントセキュリティに対する取り組みを紹介する。

コロナ禍で変容する働き方に求められるエンドポイントセキュリティ

エンドポイントセキュリティとは、その名の通り、エンドポイントのデバイスについてのセキュリティ対策のことだ。いわゆる境界型のセキュリティにおいては、ファイアウォール1やUTM2などにより、ネットワークに脅威を侵入させないこと、境界で防ぐことが最重視され、デバイスについてはアンチウイルス3などの対策で十分と考えられていた。しかしコロナ禍で在宅勤務が推奨されるなど働き方が変容していくなかでは、境界型セキュリティだけでは不十分だ。リモートワークなど社外で利用されるデバイスについても“ゼロトラスト”4でセキュリティを考える必要がある。

用語解説
  • 1

    ファイアウォール:FW、F/Wと略して記載されることも多い。ファイアウォール(防火壁)はインターネット・イントラネットで接続された社内(グループ内)のホスト(端末やサーバーなど)および、ホスト内部の機密情報を外部からのウイルスや不正侵入者から守る装置の総称を指す。

  • 2

    UTM(ユーティーエム):Unified Threat Managementの略。統合脅威管理。ファイアウォールのみならず、不正侵入検知(IDS/IPS)やアンチウイルスやアンチスパム、Webフィルタリングなどのセキュリティ機能を集約した製品。管理・運用面の負荷軽減と一元管理を実現できる。クラウドUTMはアプライアンスではなくクラウドサービスとしてUTM機能を提供するもの。

  • 3

    アンチウイルス:Anti-Virusとも表記。パソコンなどのデバイスが感染するウイルスやマルウェアへの対策を行う仕組みやそのソフトウェアを呼ぶ。

  • 4

    ゼロトラスト:「信頼しない(ゼロトラスト)」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。

福川原

福川原

当社でももちろんすべてのPC端末にセキュリティソフトを導入しています。セキュリティソフトがウイルスやマルウェアを検知すると、AMF-SEC5のアプリケーション連携により、被疑端末を自動で遮断し、隔離します。

アライドテレシスでは以前から社員のPC端末にセキュリティソフトをインストールし、さらにアプリケーション連携でセキュリティを強化するAMF-SECにより、問題なくセキュアに業務を継続してきた(AMF-SECについては次回詳しく紹介する)。しかし導入していたセキュリティソフトはいわゆる「EPP(Endpoint Protection Platform)6」で、ゼロトラストの観点からすると、もう少し強化が必要となる。つまり「EDR(Endpoint Detection and Response)7」だ。

用語解説
  • 5

    AMF-SEC:AMF-SECurityの略。アライドテレシスが開発したセキュリティ対策ソリューション。ネットワークを構成する通信機器をソフトウェアによって集中的に制御する技術SDN(Software-Defined Networking)により、各種アプリケーションと連携して各通信機器が直接接続するネットワークのエッジ側(エンドポイント)を管理。デバイスをネットワークから自動的に遮断・隔離して被害の拡大を防ぐことができる。

  • 6

    EPP(イーピーピー):Endpoint Protection Platform(エンドポイント保護プラットフォーム)のこと。社内に入り込んだウイルスなどのマルウェアを検知して自動駆除などを行う機能をもつ。

  • 7

    EDR(イーディーアール):Endpoint Detection and Responseの略。ネットワーク配下に接続されているパソコンなどいわゆるエンドポイントを監視し、疑わしい挙動や脅威を検知して対策などを講じる機能もしくは方法のこと。

多様なEDR製品を実際に導入して検証

一般的にEPPはウイルスやマルウェアからのデバイス保護を、EDRはそれに加え感染した際の被害を抑えることを目的にする。よく知られているアンチウィルスソフトがEPPで、ふるまい検知やゼロデイ攻撃8などの検知、対応、可視化などの機能を持ったものがEDRとされる。
アライドテレシスでは複数のEDR製品について複数の部署、PoC9(検証環境)で導入、検証を継続的に行ってきた。

用語解説
  • 8

    ゼロデイ攻撃:ソフトウェアやハードウェアにセキュリティの脆弱性などが発見された際、対策プログラムやバージョンアップを講じる前にしかけられるサイバー攻撃のこと。脆弱性の発見から日を空けず(zero day)攻撃をうけることが由来。

  • 9

    PoC(ポック):Proof of Conceptの略。直訳すると概念実証のことで、IT業界では主に検証を行う環境を指す。新製品や新システムを実際に試し、導入したあとの影響や問題点がないかなどを事前に検証する。

一般的なEPPとEDRの違い

EPP EDR
目 的 デバイスの保護 感染後の素早い対応
手 法 ウイルスデータベースによる
パターンマッチング
振る舞い検知など
感染後の動きを監視
ゼロデイ攻撃 対応する製品もあり 未知の攻撃にも対応
感染後の対応 手動対応 自動対応
証跡管理 ログからの追跡が可能 対応
福川原

福川原

EDRについては多くのソリューションが展開されており、そのうち複数製品を社内で実際に導入、検証してきました。ただ、実際に感染してみて検証というのはなかなか難しいものがありますので、擬似的に感染させる検証なども実施しています。

中村

中村

当社へ適用するというだけでなく、お客様にご提案/インテグレートするにあたって、展開や運用のしやすさなども含め、どのようなお客様にどのEDRが適しているのかもDevOpsで検証してきました。ネットワークの構築にあわせEDRを含めたセキュリティのインテグレートも提供していきます。お客様環境により、利用されている端末の種類やセキュリティ対策が千差万別なため、エンドポイントセキュリティはインテグレート型の提供が最適だと考えています。

福川原

福川原

当社でもそうですが、EDR製品は種類が豊富なためお客様としても何を導入すればよいのか分からないケースも多いかと思います。お客様に最適な製品をマルチベンダーで提案、構築するためにも、複数のEDR製品をさまざまな角度から検証しています。

EDRは製品によってオンプレミス10でサーバーにインストールするタイプや、クラウドのみのタイプもある。展開のしやすさや使い勝手も異なるため、さまざまな製品を実際に導入、検証して、顧客の要望に真に最適な提案ができるようにしている。
アライドテレシス社内への展開については、現在、検証を兼ねて複数のEDRを導入しているが、2021年中には複数導入したEDRを絞っていく予定だ。ただ、今後も新しいソリューションが出てきた場合は、特定の部門で検証を兼ねて導入していく体制は維持していく。

用語解説
  • 10

    オンプレミス:オンプレとも略される。自社内や運用・管理しているデータセンター内にシステムを構築、所有、運用するコンピューティング形態。クラウドコンピューティングと対義的な用語として用いられることが多い。

福川原

福川原

EDRは実際に導入運用してみないと、そのソリューションの良い点、悪い点というのがなかなか見えません。とはいえ、複数の同じタイプのソリューションを導入するのは、運用的には負担であり、複雑化することでセキュリティリスクを高めてしまうことにもつながります。約1年間、複数のEDRを導入し、多くの有益なノウハウを蓄積できたので、社内で継続的に利用していくEDRについては、1つに絞っていくつもりです。

システムエンジニアの持ち出しPC端末をセキュアに

エンドポイントセキュリティとして検証しているのはEDRだけではない。「UEM(Unified Endpoint Management)11」もその一つだ。UEMは、統合エンドポイント管理のことで、ネットワークに接続されるデバイスの安全性、セキュリティを統合的に管理するソリューションだ。
アライドテレシスは、日々システムエンジニアが顧客のもとに赴き、対応を行っている。その際にはPC端末を持ち出すことも多い。

用語解説
  • 11

    UEM(ユーイーエム):Unified Endpoint Managementの略。統合エンドポイント管理。ネットワークに接続された端末(エンドポイント)を包括的に集中して管理するソリューションもしくは仕組みをいう。

福川原

福川原

システムエンジニアはPC端末を持ってお客様のところにお伺いして作業することも多いのですが、PC端末を持ち出す際には余計なデータが入ってないか、ISMSの運用にもとづいてチェックしています。情報の漏えいを防ぐためのチェックですが、このチェックには大きな負荷が掛かっていて課題となっていました。

もともとMDM(Mobile Device Management、モバイルデバイス管理)のツールは導入済みで、PC端末の紛失や盗難には対応していたが、持ち出す頻度が多いだけに、そのデータもしっかりと管理し、漏えいを防ぐ必要があるのだ。
そこでゼロトラストセキュリティの観点で導入の検討を行ったのがUEMだ。製品は複数あるが、システムエンジニアを中心に実際に導入して、使い勝手などを検証している。

中村

中村

UEMを使うことによって、そのPC端末が所持しているデータがどのようなものか、重要か否かを分別でき、またデータは暗号化できるので万一PC端末を紛失しても漏えいしません。データの変更もログを残すことができ、漏えいした際の証跡を追うこともできます。こうしたことを統合的に管理できますので、運用管理の手間も大きく削減できます。

福川原

福川原

まずはPC端末を持ち出すことの多いシステムエンジニアのPC端末にUEMを入れて、持ち出すデータの制限/管理を実現しています。これによりチェックの負荷を大きく減らすことができています。ただ全社員のPC端末持ち出しに対応できるかというと、基準をどう設けるかなど難しい問題がまだまだありますので、実際に運用しながらそうした面も検討していきます。

マルチベンダーでネットワークセキュリティをインテグレート

なおアライドテレシスはテレワークを推進すると同時に、USBシンクライアント12を導入している。USBからシンクライアントをブートすることで、データをPC端末に残すことなく、安全に業務を継続することができている。

福川原

福川原

システムエンジニアのようにFAT PC13(PC端末)でなければ外での業務が難しい人は除き、シンクライアントでも問題なく業務を進められる部署、人に対しては、テレワーク環境でシンクライアントを利用してもらっています。

用語解説
  • 12

    USBシンクライアント:専用USBメモリを起動させてシンクライアント環境を実現するソリューション。普通のPCを容易にシンクライアント化できる。専用USBのため、セキュアな環境を実現可能。

  • 13

    FAT PC:いわゆる従来のパソコンのことで、アプリケーションやデータなどを全て端末に保存し、全ての操作が行えるもの。シンクライアントと区別してそう言われる。

さらにアライドテレシスでは資産管理ツールも導入している。これはゼロトラストセキュリティの推進以前より導入しており、AMF-SECとアプリケーション連携して、不正な振る舞いなどがあった際には端末をネットワークから遮断、隔離している。

福川原

福川原

USBメモリーやスマートフォンへのデータ保存などを禁止し、簡単にデータを持ち出せないよう制御しています。大量のファイルコピーなども監視し、操作ログも取っています。

中村

中村

デバイス制御についてはEDRでも可能ですので、何を使うか、最適解を見付けることが大切です。デバイスの制御は生産性とトレードオフの面もあるので容易ではありませんが、自分たちで使いながらベストプラクティスを見つけ、さらにお客様に提供して行きたいと思っています。

アライドテレシスのエンドポイントセキュリティ対策

社 内 社 外
不正端末の接続
情報漏えい対策
資産管理ツール(UEM) UEM
サイバー攻撃への対策 EDR(+EPP) EDR(+EPP)
社 外
安全な
ネットワークアクセス
USBシンクライアント

これらエンドポイントへのサイバー攻撃対策や情報漏えい対策は、基本的にサードベンダーのソフトウェア・ツールを利用している。アライドテレシスではDevOps14の考え方で、実際に運用しながら開発を行っているが、ネットワークセキュリティを提供する上でもDevOpsに基づき、しっかりと導入/検証した上でそれぞれの顧客に最適なものを提案していく。

用語解説
  • 14

    DevOps(デブオプス):開発(Development)と運用(Operation)を組み合わせた言葉。開発チームと運用チームが協同し、製品などのビジネスの価値を生み出す仕組みやそれを行う組織をいう。開発スピード、信頼性、生産性、品質の向上が本仕組みのメリットとしてあげられる。

福川原

福川原

アライドテレシスはベンダーニュートラルで、自社の標準サービスだけでなくサードベンダーの製品も組み合わせて、お客様に最適なソリューションを提案します。

次回はエンドポイントセキュリティ3として、エンドポイントのセキュリティをさらに強化し、運用を容易にするアライドテレシスのソリューションを紹介する。

(第8話につづく)

関連動画※音声がございますので、再生の際には、お気を付けください。

  • Net.CyberSecurity クラウドUTMサービス デモンストレーション

  • AMF-SEC (Self-Defending Network)ソリューション

  • テレワークソリューションのご紹介

  • monoPack 使い方

登場者

福川原 朋広

アライドテレシス株式会社
サポート&サービス事業本部
上級執行役員 本部長
福川原 朋広

中村 徹

アライドテレシス株式会社
サポート&サービス事業本部
サービスDevOps部 部長
中村 徹

  • 本記事の内容は公開日時点の情報です。
  • 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。
  • ソリューション
  • サービス
PageTopへ