エンドポイント保護プラットフォームとは

エンドポイント保護プラットフォーム(EPP)は、脅威に対処するためにエンドポイント デバイスに展開される包括的なセキュリティ ソリューションです。

エンドポイント保護プラットフォームの定義

EPP ソリューションは、通常はクラウドで管理され、クラウド データを利用して高度な監視とリモート復旧を支援します。
EPP ソリューションにはさまざまなセキュリティ機能が採用されていますが、基本的には次のような機能を備えています。

  • ファイルベースのマルウェアの防止
  • セキュリティ侵害インジケーター(IOC)から振る舞い分析までの幅広い手法を使用した疑わしいアクティビティの検知
  • 動的なインシデントやアラートに対処するための調査ツールおよび復旧ツール

エンドポイント保護プラットフォームは、エンドポイント セキュリティの最新の進化形です。従来のエンドポイント セキュリティをくぐり抜ける攻撃者を特定し、複雑なセキュリティ スタックの統合を支援するために開発されました。統合することでデータ共有が改善され、疑わしい振る舞いを検知するための分析機能を向上させることができます。また、セキュリティ運用を大幅に簡素化できます。

エンドポイント保護プラットフォームのもう 1 つの重要なメリットは、クラウドへの移行です。クラウドネイティブな EPP では、単一の軽量なエージェントを使用してすべてのエンドポイントを監視できます。さらに、収集および利用できるデータは、企業 1 社分のエンドポイントをはるかに上回ります。攻撃者の戦術を示す、グローバルに共有されたデータを取り込むことができるため、攻撃者の振る舞いの検知能力を向上させることができます。

Gartner は、『Critical Capabilities for Endpoint Protection Platforms』の調査のなかで、クラウドベースの EPP の重要性を強調し、「クラウドベースの EPP ソリューションでは、従来のオンプレミス環境よりも迅速に価値を提供し、低い管理コストおよび俊敏な製品改良を実現できる」と述べています。

また、Gartner の最新の『Magic Quadrant for Endpoint Protection Platforms』によると、EPP は「自動化およびオーケストレーションされたインシデント調査と侵害対応」を提供するように進化しているとされます。そして、セキュリティ管理やリスク管理のリーダーに向けて、「最新の脅威に対応していくために EPP ベンダーを迅速に進化させる」ようアドバイスしています。

クラウドベースのエンドポイント保護プラットフォームは、IR に留まらず、リアルタイムでの振る舞い分析を実現します。最先端の EPP は、クレジット カード詐欺の検知に使用されているのと同じイベント ストリーム処理を使用して、エンドポイントのセキュリティを変革できます。これにより、攻撃者が戦術を隠すために意図的に行う「正常に見える」振る舞いを検知することができます。現時点で、VMware Carbon Black Cloud は、イベント ストリーム処理を使用する唯一のエンドポイント保護プラットフォームで、データの持ち出しが発生する前に攻撃者を検知する点ですでに優れた成果を示しています。

ハイブリッド環境向けの脅威ハンティングとインシデント レスポンス

企業のゼロトラスト導入を支援する VMware Security

攻撃者が従来のエンドポイント セキュリティをくぐり抜ける方法

エンドポイント保護プラットフォームの開発の主な動機となったのは、従来のソリューションを使用している SecOps チームの目を攻撃者が簡単にくぐり抜けているという事実でした。根本的に、攻撃者が従来のエンドポイント セキュリティの機能の上を行っており、ネットワーク内で長時間検知されずにいることができるようになっています。

攻撃者が従来のエンドポイント セキュリティをくぐり抜ける 5 つの方法

  • ファイルレス ランサムウェア:検知とブロックの対象となるファイルがない、ファイルレス手法によるランサムウェアの多くは、従来のエンドポイント セキュリティによって防御することはできません。SecureWorld のサイバーセキュリティ レポートによると、ファイルレス攻撃は、2019 年前半には 2018 年後半と比較して 18% 増加しています。振る舞いを追跡してパターンを発見し、ファイルレス攻撃のアラート通知を行うには、EPP を使用するしかありません。
  • 新たに使用可能になった攻撃手法:サイバー犯罪者によって高度な攻撃手法が盗まれたり開発されたりして、インターネットやダーク ウェブで販売されたり、単にオープンソースとして利用されたりしています。これらのスクリプトや戦術を利用すると、攻撃者のアクティビティを「正常に見える」ようにして、ネットワーク内に潜伏させ続けることができます。
  • 古いエンドポイント:脅威の状況は急速に変化しています。このため、セキュリティ ベンダーは、新しい脅威に対応し続けるために、パッチやアップデートをできる限り迅速に開発しています。アップデートのペースが SecOps チームの能力を上回ることもよくあり、そうした状況は特にパッチ管理や自動化が導入されていない場合に発生します。また、エンドポイント エージェントに障害が発生し、個々のエンドポイントが保護されずに放置されることもよくあります。『2019 Global Endpoint Security Trends Report』によると、エンドポイント侵害の 35% は既存の脆弱性が原因となっています。エンドポイント保護プラットフォームは一般的にクラウドベースであるため、常に最新の状態を維持し、最新の脅威からエンドポイントを保護することができます。
  • 複数のデータ ソース:従来のエンドポイント セキュリティ ソリューションは、セキュリティ スタックのほかの部分から比較的切り離されて実行されます。このため調査においては、1 つのエンドポイントのアクティビティを複数のシステムで確認し、ネットワーク全体の疑わしいアクティビティを追跡していくことが必要になります。エンドポイント保護プラットフォームでは、プラットフォーム上のすべてのセキュリティ ソリューションのデータを組み合わせた、「信頼できる」唯一の情報源が提供されるため、データへのアクセスやアラートの調査を簡単に行うことができます。
  • エンドポイント データのフィルタリング:多くのエンドポイント セキュリティ ソリューションは、既知の振る舞いパターンや IOC に基づいて、脅威とは無関係とみなされるエンドポイント データを除外します。しかし攻撃者は今やより高度な手法を用いており、エンドポイント データのフィルタリングを活用して自分たちのアクティビティを除外させています。このため、SecOps チームは新しいパターンを認識できません。エンドポイントのアクティビティに関するデータを継続的にキャプチャすると、そうした新しい手法を確認し、新しい脅威を予測することが可能になります。

業界の動向:エンドポイント保護プラットフォームに関するセキュリティ担当者の見解

アナリストやセキュリティ担当者は、高度な脅威からネットワークを保護するには EPP が最善の方法だということに同意しています。Gartner と Forrester はそれぞれ、『Gartner Magic Quadrant for Endpoint Protection Platforms』と『Forrester Wave for Endpoint Security Suite』で、このソリューション分野について取り上げています。EPP の検証は、Forrester が実施した ROI 分析に基づくものです。エンドポイント保護プラットフォームに関する『Forrester Total Economic Impact』調査によると、EPP に移行した 7 社の平均 ROI は 204% でした。これは、3 年間で平均 210 万ドルの節約に相当します。

エンドポイント保護プラットフォームへの移行を実施したセキュリティ担当者は、EPP の価値について次のように述べています。

大幅な時間の節約
「今では 24 時間体制の SOC のおかげで、昼夜を問わずいつでも、部門のチームに連絡を取らなくても、発生したあらゆる問題をすぐに特定し、対処してもらえるようになりました 」
– Progress Residential、IT Infrastructure Manager、Cody Lavallee 氏

単一の管理画面
「IR と利用可能な脅威ハンティングの機能により、チームは単一の管理画面を備えたクラウドベースのコンソールのメリットを活かして、迅速かつ迷いなく行動できるようになりました。チームに画期的な変化がもたらされました」
– Lithium、Senior IT Manager、Eric Samuelson 氏

脅威に遅れずについていける
「EPP は企業が今日の最大のサイバー脅威に直面しながら継続性を維持するためにまさに必要なものです。[EPP を] 使用することで、古くなったアンチウイルス(AV)ソリューションを迅速に調査、対応、削除することができます」
– Samsung Research Americas、CISO、Steven Lentz 氏

解決策:異常な振る舞いの特定

サイバー犯罪者の目的達成にマルウェアが非常に有効である理由は、従来のアンチウイルス ツールのほとんどが、セキュリティ対策として主に静的分析を使用しているという点に尽きます。これらのツールで特定できるのは、既知の脅威だけです。現在、新しいマルウェアが毎日急激な勢いで開発されているため、脅威の大部分は未知のファイルとして侵入します。攻撃者は、パッキングや圧縮などのさまざまな手法を用いてマルウェアの特徴を変え、既知の脅威とは異なるように見せかけます。そのため、攻撃はアンチウイルスの防御を容易にすり抜けてしまいます。

ここで役立つのが、次世代型エンドポイント セキュリティと振る舞い分析です。幸いなことに、システムやデバイス内におけるマルウェアの振る舞いは、通常のユーザーの振る舞いとはいずれ異なって見えてきます。そのため、ビッグデータと機械学習を活用して異常な振る舞いに焦点を当てることで、マルウェアと疑われる対象を、通常とは異なる、潜在的に悪意のある存在として特定できるようになります。

 

関連するソリューションおよび製品

VMware Carbon Black Endpoint

クラウドネイティブなエンドポイントの保護を実現します。

VMware Carbon Black Cloud

各組織のニーズに対応するインテリジェントなエンドポイントおよびワークロード保護機能により、セキュリティを変革します。

Workspace ONE 統合エンドポイント管理(UEM)

あらゆるデバイスをあらゆるユースケースで管理および保護できます。