エンドポイント保護プラットフォームとは

エンドポイント保護プラットフォーム(EPP)は、脅威に対処するためにエンドポイント デバイスに展開される包括的なセキュリティ ソリューションです。

 

エンドポイント保護プラットフォームの定義

 

EPP ソリューションは、通常はクラウドで管理され、クラウド データを利用して高度な監視とリモート復旧を支援します。
EPP ソリューションにはさまざまなセキュリティ機能が採用されていますが、基本的には次のような機能を備えています。

 

  • ファイルベースのマルウェアの防止
  • セキュリティ侵害インジケーター(IOC)から振る舞い分析までの幅広い手法を使用した疑わしいアクティビティの検知
  • 動的なインシデントやアラートに対処するための調査ツールおよび復旧ツール
  •  

エンドポイント保護プラットフォームは、エンドポイント セキュリティの最新の進化形です。従来のエンドポイント セキュリティをくぐり抜ける攻撃者を特定し、複雑なセキュリティ スタックの統合を支援するために開発されました。統合することでデータ共有が改善され、疑わしい振る舞いを検知するための分析機能を向上させることができます。また、セキュリティ運用を大幅に簡素化できます。

エンドポイント保護プラットフォームのもう 1 つの重要なメリットは、クラウドへの移行です。クラウドネイティブな EPP では、単一の軽量なエージェントを使用してすべてのエンドポイントを監視できます。さらに、収集および利用できるデータは、企業 1 社分のエンドポイントをはるかに上回ります。攻撃者の戦術を示す、グローバルに共有されたデータを取り込むことができるため、攻撃者の振る舞いの検知能力を向上させることができます。

Gartner は、『Critical Capabilities for Endpoint Protection Platforms』の調査のなかで、クラウドベースの EPP の重要性を強調し、「クラウドベースの EPP ソリューションでは、従来のオンプレミス環境よりも迅速に価値を提供、低い管理コストおよび俊敏な製品改良を実現できる」と述べています。

また、Gartner の最新の『Magic Quadrant for Endpoint Protection Platforms』では、EPP が「自動化およびオーケストレーションされたインシデント調査と侵害対応」を提供するように進化していると解釈されています。そして、セキュリティ管理やリスク管理のリーダーに向けて、「最新の脅威に対応していくために EPP ベンダーを迅速に進化させる」ようアドバイスしています。

クラウドベースのエンドポイント保護プラットフォームは、IR に留まらず、リアルタイムでの振る舞い分析を実現します。最先端の EPP は、クレジット カード詐欺の検知に使用されているのと同じイベント ストリーム処理を使用して、エンドポイントのセキュリティを変革できます。これにより、攻撃者が戦術を隠すために意図的に行う「正常に見える」振る舞いを検知することができます。現時点で、VMware Carbon Black Cloud は、イベント ストリーム処理を使用する唯一のエンドポイント保護プラットフォームで、データの持ち出しが発生する前に攻撃者を検知する点ですでに優れた成果を示しています。

 

 

攻撃者が従来のエンドポイント セキュリティをくぐり抜ける方法

エンドポイント保護プラットフォームの開発の主な動機は、従来のソリューションを使用する SecOps チームの目を攻撃者が簡単にくぐり抜けているという事実でした。根本的に、攻撃者が従来のエンドポイント セキュリティの機能の上を行っており、ネットワーク内で長時間検知されずにいることができるようになっています。

 

攻撃者が従来のエンドポイント セキュリティをくぐり抜ける 5 つの方法

  • ファイルレス ランサムウェア:検知してブロックするファイルがない、ファイルレス手法によるランサムウェアの多くは、従来のエンドポイント セキュリティによって防止することはできません。SecureWorld のサイバーセキュリティ レポートによると、ファイルレス攻撃は、2019 年前半には 2018 年後半と比較して 18% 増加しています。振る舞いを追跡してパターンを発見し、ファイルレス攻撃のアラート通知を行うには、EPP を使用するしかありません。

  • 新たに入手可能になった攻撃手法:サイバー犯罪者によって高度な攻撃手法が盗まれたり開発されたりして、インターネットやダーク ウェブで販売されたり、オープンソースとして利用されたりしています。これらのスクリプトや戦術を利用すると、攻撃者のアクティビティを「正常に見える」ようにして、ネットワーク内に潜伏させ続けることができます。

  • 古いエンドポイント:脅威の状況は急速に変化しています。このため、セキュリティ ベンダーは、新しい脅威に対応し続けるために、パッチやアップデートをできる限り迅速に開発しています。アップデートのペースが SecOps チームの能力を上回ることがよくありますが、この状況は、特にパッチ管理や自動化が導入されていない場合に発生します。また、エンドポイント エージェントに障害が発生し、個々のエンドポイントが保護されずに放置されることもよくあります。『2019 Global Endpoint Security Trends Report』によると、エンドポイント侵害の 35% は既存の脆弱性が原因となっています。エンドポイント保護プラットフォームは、一般的にクラウドベースで、常に最新の状態を維持し、最新の脅威からエンドポイントを保護できます。

  • 複数のデータ ソース:従来のエンドポイント セキュリティ ソリューションは、セキュリティ スタックのほかの部分から比較的切り離されて実行されます。このため、調査において、エンドポイントごとのアクティビティを表示ながらネットワーク全体で疑わしいアクティビティを追跡するには、複数のシステムが必要になります。エンドポイント保護プラットフォームでは、プラットフォーム上のすべてのセキュリティ ソリューションのデータを組み合わせた、「信頼できる」唯一の情報源が提供されるため、データへのアクセスやアラートの調査を簡単に行うことができます。
     
  • エンドポイント データのフィルタリング:多くのエンドポイント セキュリティ ソリューションでは、既知の振る舞いパターンと IOC に基づいて、脅威とは無関係とみなされたエンドポイント データを除外しています。攻撃者はより高度な手法を手に入れており、エンドポイントのデータ フィルタリングを利用して自分たちのアクティビティを除外させます。このため、SecOps チームは新しいパターンを認識できません。エンドポイントのアクティビティに関するデータを継続的にキャプチャすることで、これらの新しい手法を確認し、新しい脅威を予測できます。

 

 

業界の動向:エンドポイント保護プラットフォームに関するセキュリティ担当者の見解

アナリストとセキュリティ担当者は、高度な脅威からネットワークを保護するには EPP が最善の方法であることに同意しています。Gartner と Forrester はそれぞれ、『Gartner Magic Quadrant for Endpoint Protection Platforms』と『Forrester Wave for Endpoint Security Suite』で、このソリューション分野について取り上げています。EPP の検証は、Forrester が実施した ROI 分析に基づくものです。エンドポイント保護プラットフォームに関する『Forrester Total Economic Impact』調査によると、EPP に移行した 7 社の平均 ROI は 204% でした。これは、3 年間で平均 210 万ドルの節約に相当します。エンドポイント保護プラットフォームへの移行を実施したセキュリティ担当者は、EPP の価値について次のように述べています。

大幅な時間の節約
「24 時間 365 日体制の SOC が実現できました。昼夜を問わず、チームに連絡することなく、発生した問題を即座に特定して対処することができます」
– Progress Residential、IT Infrastructure Manager、Cosy Lavalle 氏

単一の管理画面

「IR と利用可能になった脅威ハンティング機能を通じて、チームは単一の管理画面を備えたクラウドベースのコンソールが提供するメリットを活用し、迅速かつ迷いなく行動できるようになりました。チームに画期的な変化がもたらされました」
– Lithium、Senior IT Manager、Eric Samuelson 氏

脅威に遅れずについていける

「[EPP] は、今日の最大のサイバー脅威に直面しながら企業が継続性を維持するためにまさに必要なものです。[EPP] を使用することで、古くなったアンチウイルス(AV)ソリューションを迅速に調査、対応、削除することができます」
– Samsung Research Americas、CISO、Steven Lentz 氏

 

 

解決策:異常な振る舞いの特定

サイバー犯罪者の目的達成にマルウェアが非常に有効である理由は、従来のアンチウイルス ツールのほとんどが、セキュリティ対策として主に静的分析を使用しているという点に尽きます。これらのツールで特定できるのは、既知の脅威だけです。現在、新しいマルウェアが毎日急激な勢いで開発されているため、脅威の大部分は未知のファイルとして侵入します。攻撃者は、パッキングや圧縮などのさまざまな手法を用いてマルウェアの特徴を変え、既知の脅威とは異なるように見せかけます。そのため、攻撃はアンチウイルスの防御を容易にすり抜けてしまいます。

 

ここで役立つのが、次世代型エンドポイント セキュリティと振る舞い分析です。幸いなことに、システムまたはデバイス内におけるマルウェアの振る舞いは、通常のユーザーの振る舞いとはやはり異なるものです。そのため、ビッグデータと機械学習を活用して異常な振る舞いに焦点を当てることで、マルウェアと疑われる対象を、通常とは異なる、潜在的に悪意のある存在として特定できるようになります。

エンドポイント保護プラットフォームに関連する VMware の製品、ソリューション、リソース

本質的なセキュリティによるアプリケーションとデータの保護

新しいセキュリティ アプローチ:本質的なセキュリティは、ビジネスを保護するための従来とは根本的に異なるアプローチです。

VMware NSX Service-defined Firewall

NSX 上で動作する分散型のステートフルなレイヤー 7 内部ファイアウォールを利用すると、仮想、物理、コンテナ、クラウドのすべてのワークロードを対象に、データセンターのトラフィックを保護できます。

最新のデジタルワークスペース プラットフォーム

VMware Workspace ONE は、インテリジェンスベースのデジタルワークスペースを実現するプラットフォームです。デバイスを問わず、シンプルかつセキュアにあらゆるアプリケーションの提供と管理が行えます。