COVID-19(新型コロナウイルス)感染拡大に伴い、世界はニューノーマルへと変遷を遂げています。そこではテレワークが常態化し、バックオフィス業務やチームとのコラボレーションはもとより、顧客や取引先などビジネス上のやり取りもリモートで完結するようになりつつあります。その中で増大するリスクとは「マルウェア感染などのセキュリティインシデント」です。
テレワークにより管理者の目が行き届かなくなると、脆弱性(セキュリティ上の欠点)が生まれやすくなります。そして、そこを突いたサイバー攻撃が横行する可能性があります。また、従業員に対してBYODを推奨する場合には社外環境にまで管理が行き届かないケースもあるでしょう。今回は、テレワーク時代に考えたいセキュリティ対策に欠かせないEDRについてご紹介します。
エンドポイントセキュリティ「EDR」とは?
社員が利用している端末にインストールするアンチマルウェアソフトや、不正アクセスを防ぐファイアウォールなど、エンドポイント自体やそこに保存されている情報をサイバー攻撃から守るためのセキュリティ対策をエンドポイントセキュリティ(端末防御)と呼びます。
今までのエンドポイント向けのソリューションは、一定の効果を発揮し、様々なサイバー攻撃から端末並びに社内ネットワークを保護してきました。しかし、現在ではこれらエンドポイントセキュリティではサイバー攻撃が防御しきれない局面へと突入しています。
従来型のアンチウイルスソフトウエアでは、基本そのソフトウェアを提供する情報セキュリティベンダーが定期的に更新するシグネチャファイルを参照し、エンドポイントに危険を及ぼすマルウェアを検知し、隔離します。つまり、情報セキュリティベンダーが定期的に更新するシグネチャファイルが更新されないと検知はできないことを意味します。
また、マルウェアはますます高度化しており、最近では「ファイルレスマルウェア(ファイルが存在しないマルウェア)」なるものも存在しています。一般的にマルウェアといえばファイルに寄生するか、自立的なファイルとして存在し、ユーザーがそれらのファイルを展開することで端末が感染します。一方、ファイルレスマルウェアはファイルに依存せず、ファイルを必要としません。コンピュータのメモリ上にプログラムを展開して悪事を働くサイバー攻撃です。
ファイルレスマルウェアは一般的なファイル型のマルウェアとは異なり、アンチマルウェアソフトなど従来のエンドポイントセキュリティでは検知できないという点で危険性の高いサイバー攻撃と認識されています。
こうした次世代のサイバー攻撃へ対抗するためには新しいエンドポイントセキュリティ対策が必要でありEDRはその役割を果たします。EDRは「Endpoint Detection and Response」の略であり、端末の保護及び対応という意味があります。
検知できないサイバー攻撃を嗅ぎ分ける
皆さんは「検知できないサイバー攻撃」をどうやって検知すれば良いと思いますか?つまり、目に見えない、レーダーでも捉えられないステルス攻撃機をどうすれば見つけられるだろうかと考えるのと同じです。
答えは「検知できるようになるまで待つ」です。
誰にも気づかれずに端末がマルウェアに感染したと仮定します。この時点では、どのようなセキュリティシステムを持ってしても検知は難しいでしょう。しかしマルウェアは必ず行動を起こします。システムファイルをロックするのか、社内ネットワークに侵入するのかといった目的は別として、そこには何かしらの行動を必要とするのです。そしてその行動は、コンピュータのアクティビティログとして記録されます。つまり、コンピュータのアクティビティログを監視し、不審な行動を検知できれば、そこからマルウェアを認識することが可能になります。これがEDRの原理です。
また、EDRには「端末の保護」だけでなく「対応」という意味も含まれています。これはつまり、マルウェアなどのサイバー攻撃を検知した際に、その対応方法をセキュリティ担当者が事前にプログラムできることを意味します。
ネットワークからの切り離し、当該端末のシャットダウン、システム担当者への迅速な通知などサイバー攻撃を検知するだけでなく対応まで自動化することで、より効率的にサイバー攻撃を防ぐための環境が整います。
昨今のサイバー攻撃は「100%の水際対策は不可能」と言われています。近年の情報セキュリティ対策は、水際で防ぐことに加えて「内部ネットワークへ侵入されることを前提とした対応」の重要性が求められています。従って、EDRとは現代ビジネスセキュリティにおいて、実態に沿ったエンドポイントセキュリティと言えます。
[SMART_CONTENT]
アフターコロナに求められるセキュリティ対策
テレワークの常態化が予測されているアフターコロナのビジネスでは、EDRのようなエンドポイントセキュリティの重要性が増していくものと考えられます。理由としては、社員の個人的なネットワークで業務を実施することでマルウェア感染などサイバー攻撃のリスクが高まるからです。閉じられたネットワークの中でセキュリティポリシーを適用するよりも難しいことは容易に想像がつくでしょう。そのような中で効果を発揮するのがEDRなどの次世代エンドポイントセキュリティです。特にクラウドベースでサービスが提供されるEDRは、リモートビジネスを展開する社員各人の端末をリアルタイムに監視しながらセキュリティに関係するアクティビリティログを収集し、マルウェアなどサイバー攻撃の脅威を常に監視できるのです。
ファイル共有とは?取引先やリモートワーカー同士の安全な方法
セキュアなクラウドストレージで安心・安全な情報共有を
セキュアなクラウドストレージであるBoxでは、業界最高レベルのセキュリティを実装しています。例えば「Box Shield」は、サイバー攻撃などの情報漏洩から保護する高度なセキュリティソリューションです。Box Shieldにより企業はマルウェアの自動検知および制御を実現できます。Box上でマルウェアが検知された際のアラート、悪意あるファイルのダウンロードや共有の制限、ITおよびセキュリティの担当部門への通知が自動的に行われます。そもそも標的となる重要ファイルをエンドポイントとなるPCに置かず、クラウドストレージに置くことでセキュリティをより向上させることができます。
サイバー攻撃は年々高度化していますが、それに応じてセキュリティ対策も日進月歩で発展しています。巧妙なサイバー攻撃によって甚大な被害を被った事例がメディアで多く取り上げられていますが、その影には先進的なセキュリティ対策によってサイバー攻撃を阻止した事例もたくさんあります。ぜひこの機会にアンチウイルスより高度なエンドポイント保護ができるEDRや、クラウドストレージにさらに高度なセキュリティ保護を実装したBoxなどを組み合わせてより高いセキュリティ対策を行ってください。
