昨今のIT技術の発展は、様々な分野において、業務効率化などの好影響を与えています。しかし、一方で、情報漏えいやウイルスの侵入といった脅威にさらされる危険性を高めることにもなり、より一層のセキュリティー対策を進めていくことが求められています。セキュリティー対策はUTMのような境界型の対策が一般的でしたが、昨今のリモートワークの普及などによって、各パソコンにセキュリティー対策を施すエンドポイントセキュリティも注目を集めています。

そこで当記事では、パソコンやスマートフォンなどに施すエンドポイントセキュリティの基本的な情報や選び方について解説します。自社のセキュリティー対策をより強固なものにしていきたいと考えている方は、ぜひ参考にしみてください。

エンドポイントセキュリティとは、ネットワークが接続されている末端（エンドポイント）の機器に行なうセキュリティー対策のことです。従来までは、UTM（統合脅威管理）のようにネットワークの出入り口に設置して、ウイルスの不正侵入などを防ぐセキュリティー対策が一般的でしたが、最近ではリモートワークの普及なども相まってパソコンやスマートフォンを直接守るエンドポイントセキュリティが注目されています。

ネットワークを経由した脅威であれば、UTMなどのような出入口に設置するタイプのセキュリティー対策で問題ありませんが、ネットワークを経由しない（USBメモリ経由など）脅威に対してはエンドポイントセキュリティが効果的です。そのため、リモートワークなど社内のパソコンを持ち運ぶことのある企業では、ネットワークの出入口に設置するタイプのセキュリティー対策と共にエンドポイントセキュリティ対策を併用することで、より強固なセキュリティー環境を構築するようなケースも増えています。

エンドポイントセキュリティが注目されるようになった背景には、様々な要因があります。例えば、先にも説明した「リモートワークの普及」のほか、社内ネットワークを経由せずにクラウドサービスを利用することや、スマートフォンとパソコンを繋いでシステムを利用する機会が増えたことなどが挙げられます。

これらの点を踏まえて、外部からの脅威とネットワークを経由しない内部からの脅威の両方を意識したセキュリティー対策を実施しなくてはいけなくなったのが、エンドポイントセキュリティが注目されるようになった背景と言えるでしょう。

パソコンなどの末端の機器を保護することに軸を置いて行なうセキュリティー対策では、主に以下のようなことができます。

【エンドポイントセキュリティができること】

端末自体を守るためには、侵入を防ぐことだけに軸を置くのではなく、万が一検知してしまった場合の対策までを実施しておくことが重要です。それぞれの対策内容を確認し、エンドポイントセキュリティの重要性を把握しておきましょう。

侵入前の対策とは、機器・端末にウイルスが侵入するのを防ぐことを意味します。導入する製品によって機能は異なりますが、基本的には以下のような機能・システムが組み込まれています。

【侵入前の対策として組み込まれている機能・システム】

主に外部からの攻撃を防ぐためのセキュリティーが施されています。境界型のセキュリティー対策と似ていますが、エンドポイントセキュリティの場合は機器・端末に組み込まれているセキュリティーと認識しておきましょう。

先で取り上げた侵入前の対策が機能せず（組み込まれている機能・システムで対処できない攻撃があった場合など）、ウイルスが端末に侵入してしまった場合は検知後の対策が行われます。検知後の対策には、「攻撃や侵入を受けた機器・端末の隔離」や「感染経路の特定・監視」などがあります。

「感染しないこと」のみを重視しすぎると、仮に侵入・感染した場合の被害が甚大になってしまう可能性が高いです。そういった被害を軽減させるために活躍するのが、「検知後の対策」といえるでしょう。

その他管理には、「データの暗号化」などがあります。データの暗号化は、侵入を防ぐ方法や侵入後の対策と違って、データ自体を暗号化するものです。侵入後も暗号化していないデータと比べれば、守れる可能性は高くなるでしょう。

全てのデータを暗号化するにはそれ相応のコストがかかってしまいますが、特定の重要な情報を守るための暗号化は最低限取り組んでおいた方が良いかもしれません。

エンドポイントセキュリティには、侵入前・検知後の対策などがある旨を解説しましたが、それらには以下で示すような具体的な名称と機能があります。

【エンドポイントセキュリティの種類】

侵入前の対策には「EPP」、侵入後の対策には「EDR」、どちらにも該当するものとして「NGEPP・NGAV」があります。製品によっては単体で提供している場合もあれば、それぞれを組み合わせて提供している場合もあるため、導入前にしっかりと確認しておくことが重要です。

EPP（Endpoint Protection Platform）とは、ウイルスなどの感染から機器・端末を守るエンドポイントセキュリティの一つです。企業ネットワークに入り込んだマルウェアからの感染を防ぐことを目的に作られています。そのため、企業ネットワーク内にマルウェアを検知したら、自動で調査・分析・処理を実施してくれます。

具体的には、機器・端末が感染する前に処理・駆除してくれたり、マルウェアによる不正なプログラムの作動を防いだりしてくれます。機器・端末に入り込む前に対処するセキュリティーとなっているため、先に説明した「侵入前の対策」の一つと言えるでしょう。

EDR（Endpoint Detection and Response）とは、機器・端末におかしな動作が無いかを監視して、もし検知した場合に被害を抑えるようなサポートをするエンドポイントセキュリティの一つです。マルウェアが侵入してしまったケースを想定し、「被害の拡大を阻止する」ことを目的としています。

EDRの主な機能としては以下のようなものがあります。

EDRが機能するのはマルウェアが侵入してしまった後なので、先に説明した「検知後の対策」の一つといえます。EPPやこの後に取り上げるNGEPP・NGAVがマルウェアの侵入を防げなかった場合に役立つのがEDRであるため、基本的にはEPPやNGEPP・NGAVと組み合わせて活用した方が良いでしょう。

NGEPP（Next Generation Endpoint Protection Platform）とNGAV（Next Generation Anti-Virus）は、EPPと同様にマルウェアの侵入を未然に防ぐことを目的に作られたエンドポイントセキュリティの一つです。EPPとの違いとしては、「未知のマルウェア」の侵入を防げる点があります。

従来のEPPはパターンマッチングという技術を採用しており、既に認識されている（過去に発生事例がある）マルウェアを検知することはできましたが、パターンの無い（過去に事例の無い）未知のマルウェアの検知はできませんでした。しかし、NGEPP・NGAVの場合では、ファイルの不正な挙動を検知したり、AIによるマルウェアの予測精度を高めたりすることで未知のマルウェアへの対策をとります。

エンドポイントセキュリティを導入する場合、製品選びはセキュリティーの精度を左右する重要なポイントとなります。そのため、以下でご紹介する選び方を参考にして製品を選ぶようにしましょう。

【エンドポイントセキュリティの選び方】

基本的には侵入前と侵入後のセキュリティー機能があるのがベストですが、どういった目的でエンドポイントセキュリティを導入するのかによって必要な機能を見極めましょう。また、提供会社の実績は製品の質を左右することにもつながるので、どういった企業が提供しているのかを意識してください。

他にも、エンドポイントセキュリティの管理はどのように行うタイプの製品なのかも留意しましょう。監視形態の種類によっては24時間有人で監視しなくてはいけないものもあるので、企業の運営方法にマッチしない製品も出てくるかもしれません。

エンドポイントセキュリティとは、ネットワークが接続されている末端（エンドポイント）の機器に行なうセキュリティー対策のことです。UTMなどの境界型のセキュリティー対策が普及している中で、リモートワークなどの働き方が広がったことで注目を集めました。

エンドポイントセキュリティは、機器・端末をマルウェアから守ることを目的に開発されたため、パソコンなどの機器を対象としています。主にできることとしては、侵入前の対策、検知後の対策、データの暗号化などがあります。EPP・EDR・NGEPPなどのようにさまざまな種類があるため、何を目的にエンドポイントセキュリティを導入するのかを明確にしてから具体的な製品を決めましょう。

【関連コンテンツ】