エンドポイントとはネットワークに接続されたデバイスや端末を指し、スマートフォンやPCなどが含まれます。エンドポイントは、持ち運びやさまざまなネットワークへの接続がしやすい点が便利な一方で、紛失やマルウェア感染などのリスクも高まります。この記事では、エンドポイントの概要やセキュリティーリスク、具体的なセキュリティー対策方法などを解説します。
エンドポイントとは
エンドポイントとは、IT用語としては、ネットワークに接続されたデバイスや端末などを指し、主にPCやスマートフォン、タブレット、サーバーなどがあります。
企業において、クラウドを活用する場面が増えたことや、スマートフォンをはじめとしたIoT機器の普及により、働く場所が変化し、エンドポイントの種類も増加しています。また、PCやスマートフォン、タブレットといったように、従業員一人ひとりが所有するエンドポイントも増えています。このような背景から、さまざまなエンドポイントに対応するためのセキュリティー対策が求められています。
エンドポイントのセキュリティーが重要視される理由
エンドポイントのセキュリティーが重要である理由は、次のとおりです。
働き方の多様化
近年では、労働時間や働く場所などが多様化し、さまざまな働き方が見られるようになりました。従来、企業は社内のPCやサーバーに対してセキュリティー対策を行うことで、エンドポイントの安全性を維持していました。しかし、近年では働く場所の多様化により、エンドポイントの利用範囲も社外に広がっているため、社内外を問わずセキュリティー対策を行う必要があります。
サイバー攻撃の増加
これまでは、サイバー攻撃によって企業のデバイスやネットワークに被害が及ぶことを防ぐために、主にウイルス対策やマルウェア対策のソフトウェアが利用されていました。近年では、インターネットを経由せず感染するマルウェアなど、ゲートウェイセキュリティーでは対処できないセキュリティーリスクからもエンドポイントの安全性を維持できる対策方法が重視されています。
現在はクラウド型かつ包括的な役割を持つソリューションも提供されており、サイバー攻撃やウイルス、マルウェアの検出や対処だけでなく、デバイスやアプリケーション、ユーザー管理まで行い、エンドポイントの安全を守るツールが注目を集めています。
エンドポイントのセキュリティーリスク
エンドポイントには、具体的にどのようなセキュリティーリスクがあるのでしょうか。ここでは、エンドポイントが被害に遭う可能性のあるリスクについてご紹介します。
デバイスの紛失
オフィス外での業務で生じるデバイスの置き忘れや紛失により、企業の機密情報や個人情報が漏えいする恐れがあります。情報漏えいは損害賠償責任や取引の停止などにつながることもあります。情報漏えいリスクを防ぐために、あらかじめオフィス外でのデバイス取り扱いのルールを定めておくことが重要です。
情報漏えいについては、以下の記事でも詳しく解説しています。
情報漏えいとは?もし起きてしまったら?原因や対処法、事例など詳しく解説
ランサムウェア
ランサムウェアはマルウェアの一種で、感染したPCをロックしたり、ファイルを暗号化して利用できない状態にすることで、復元と引き換えに金銭を要求します。従来は個人を狙うことが多かったものの、近年では企業をターゲットとした被害も増えていることから、ランサムウェアへの対策が重視されています。
ランサムウェアについては、こちらの記事で対策方法などを解説しています。
ランサムウェアの感染経路とその対策
フィッシング
フィッシングは、実在する企業やWebサイトになりすまし、ユーザーのIDやパスワード、クレジットカード情報などを窃取します。メールに記載したリンクから偽のWebサイトに誘導し、ログイン情報や個人情報を入力させることで情報を盗み取る方法が一般的です。特定のWebサイトにアクセスする際は、メールからアクセスするのではなく、ブラウザーのブックマークなど自身が普段から利用しているリンクからアクセスすることをおすすめします。
ドライブバイダウンロード
ドライブバイダウンロードとは、Webサイトを訪れた際に、ユーザーが気づかない間にマルウェアを自動的にダウンロードおよびインストールさせる手法を指します。ドライブバイダウンロードは、PCのOSやアプリケーションの脆弱性を狙って攻撃するため、定期的にシステムアップデートや各アプリケーションのアップデートを行うことが重要です。
アップデートについては、こちらの記事でもご紹介しています。
アップデートとは何か?意味や目的、注意点をわかりやすく解説
マルバタイジング
マルバタイジングとは、マルウェアの感染や悪質なWebサイトへの誘導を目的としたWeb広告を指します。アドネットワーク(複数の広告媒体に広告をまとめて配信する仕組み)を経由して悪質なWeb広告を配信し、不特定多数のユーザーを攻撃します。マルバタイジングは、Web広告を配信する媒体やシステムの脆弱性を狙って発生するため、セキュリティー対策ソフトやOSは常に最新のバージョンに更新し、安全性を保つことが大切です。
リスクの対象となるエンドポイントの一例
先述したセキュリティーリスクの対象となる主なエンドポイントは、次のとおりです。
スマートフォン
スマートフォンやタブレットはPCに近い性能を持っており、任意のアプリケーションをインストールすることで機能を増やすことができます。また、画面に触れることで拡大縮小やスクロール操作ができる点が特長です。
ノートPC
ノートPCは、ディスプレイやキーボード、マウスの代わりとして利用できるタッチパッドがPC本体と一体化したPCを指します。バッテリーが内蔵されており、電源がない場所でも作業ができる点や、折りたたむことでかばんにも入れやすいサイズになり、持ち運びに適している点が特長です。
デスクトップPC
デスクトップPCは、机上に据え置いて使用するPCを指します。PC本体の他にもディスプレイやキーボードといった機器があり、持ち運びには適していません。
ワークステーション
ワークステーションはコンピューターの一種で、一般的なPCよりも処理能力に優れ、画像を鮮やかに表示できる点が特長です。グラフィックの性能が高いため、印刷会社や医療現場、ゲーム会社などで活用されています。
サーバー
コンテンツを提供するコンピューターを、サーバーと呼びます。Webサーバーやファイルサーバーなど、あらゆるシステムにおいて、クライアントからの要求を受けて情報を提供する重要な役割を担っています。
IoTデバイス
IoTはInternet of Things(モノのインターネット)の略です。IoTデバイスには先述したスマートフォンやタブレット、これらによって遠隔操作できる照明やエアコンといった機器や、スマートウォッチなどがあります。
エンドポイントに含まれないもの
次にご紹介するものはエンドポイントと混同しやすいものの、エンドポイントには含まれません。
ゲートウェイ
ゲートウェイは、広い意味でネットワーク間の通信を中継する仕組みの総称を指します。ゲートウェイには「入口」「玄関」という意味があるとおり、プロトコル(データの送受信を行う手順)が異なるネットワークをつなぐ玄関のような役割を果たします。
ルーター
ルーターは、ネットワーク間の接続を行う際に用いられる機器で、先述したゲートウェイの一種です。ルーターは複数の異なるネットワークの間に位置し、データを中継します。
ネットワークスイッチ
ネットワークスイッチとは、複数のPCをつなぎ、ネットワークを構築する機器です。通信回線に不要なデータが流れることを防ぎ、ネットワークの通信性能を向上させることができます。
ロードバランサー
ロードバランサーは、外部からの通信(トラフィック)を複数のサーバーに分散する役割を持ち、負荷分散装置とも呼ばれます。リソースに余裕のあるサーバーに接続させることで、アクセス集中によるサーバーダウンを防ぎます。
ファイアウォール
ファイアウォールは、外部からインターネットを介して社内のネットワークに侵入する不正アクセスや、社内のネットワークから外部への許可されていない通信を防ぐ役割を持ちます。企業のセキュリティーを維持するために、近年ではさまざまなネットワークに対応できるファイアウォールが増えています。
管理部門でできるエンドポイントのセキュリティー対策方法
エンドポイントのセキュリティーを維持するために、管理部門で対策できることは次のとおりです。
IT資産管理
IT資産管理とは、企業で扱うPCやスマートフォンなどのハードウェアや、メールソフトなどのソフトウェアの利用状況を企業全体で把握し、管理することを指します。誰が使っているのか、どこに接続しているのか、バージョンは最新かなどを確認しながら、それぞれの安全性を維持します。
ID管理
ID管理とは、企業で扱うクラウドサービスや社内システムのユーザーアカウントと紐付けて登録されているIDやパスワードを企業で適切に管理することを指します。ID管理により、デバイスの紛失などを原因とした情報漏えいリスクを下げられます。
振る舞い検知
振る舞い検知は、マルウェアを検出するための仕組みの一種で、PCの挙動から不審な動きがあった際に、悪意あるプログラムであるかを判別します。例えば、マルウェアが含まれたファイルを、PC内の重要なファイルと置き換えるなどの不審な動きがあった際、プログラムを識別しマルウェアを検出できます。
データ暗号化 / HDD暗号化
PCなどのデバイスの盗難や紛失の際に、窃取した人がそのデバイスのログイン情報を知らない場合でも、HDDドライブを抜き出すことで、データを盗まれてしまうケースがあります。Windows PCであれば、BitlockerでHDDドライブを暗号化することで、ブート不可能な状態にすることが可能です。HDDドライブが取り出された際のデータ窃取リスクを減らすことができます。
認証サーバー / 検疫システム
認証サーバーや検疫システムを用いて、PCなどのデバイスが社内ネットワークに接続された際、ユーザー情報やデバイス情報を確認し、不正アクセスや不審なデバイスからのアクセスを防ぎます。認証サーバーでは、ユーザーの管理や特定の範囲のみにアクセスできるよう制御できるものもあります。
EPP(Endpoint Protection Platform)
EPPは、いわゆるウイルス対策ソフトで、マルウェアの検出や対処を行えます。EPPでは、企業向けとして先述した振る舞い検知や暗号化といったサイバー攻撃からの保護機能を搭載し、他にもEPP導入デバイスを社内で一元管理できるシステムなどが含まれています。
EDR(Endpoint Detection and Response)
EDRは、エンドポイントであるデバイスが不審な挙動をしていないか監視します。中には、セキュリティー被害を受けたデバイスやサーバーを自動で回復する機能を持つEDR製品もあります。
NGAV(Next Generation Antivirus)/ NGEPP(Next Generation Endpoint Protection Platform)
NGAVやNGEPPは、AIや機械学習の技術を活用してマルウェアを検知し、対処します。AIや機械学習を用いたNGAVやNGEPPは、先述したEDRにおける解析技術が進化した仕組みとも言えます。
DLP(Data Loss Prevention)
DLPは、エンドポイントの情報漏えいや情報の窃取、消失を防ぎます。不正アクセスが検知された場合は通信を遮断し、管理者に通知します。エンドポイントが持つすべての情報を監視するのではなく、情報漏えいなどの被害を防ぎたい重要な情報を識別し、保護する点が特長です。
一般ユーザーができるエンドポイントのセキュリティー対策方法
持ち運びやすく、多くのデータを保存できるUSBメモリーはさまざまな場面で活用される一方で、紛失やマルウェアに感染しやすいリスクがあります。そのため、業務でUSBメモリーを使用する際は、会社で許可されたものを使うことが大切です。また、取引先など、深い関係を築けている企業から受け取ったUSBメモリーであったとしても、システム部門に安全性を確認してから利用しましょう。
よくある質問
ここでは、エンドポイントに関してよくある質問についてお答えします。
APIエンドポイントとは
エンドポイントと似た言葉に、「APIエンドポイント」があります。APIエンドポイントとは、連携したいAPI(Application Programming Interface)にアクセスするための接続先のことを指し、URI(Uniform Resource Identifier、Web上のあらゆるファイルを認識するための識別子の総称で、URNとURLで構成)として表されます。URIで表されたAPIエンドポイントにユーザーがアクセスすることで、対象のAPIを呼び出し、自身のソフトウェアと接続先のソフトウェアを連携できます。
APIエンドポイントとエントリーポイントの違い
APIエンドポイントとともに、「エントリーポイント」という言葉がよく使われます。APIエンドポイントもエントリーポイントもそれぞれ意味は同じで、URIのことを指します。ただし、URIを見る視点によってどちらの言葉を使うかが異なり、APIに連携するユーザー側から見た場合はAPIエンドポイント、APIでデータを提供する側から見た場合はエントリーポイントと表現します。
まとめ
エンドポイントの概要や種類、考えられるセキュリティーリスクや対策方法についてご紹介しました。働く場所の多様化により、エンドポイント環境の範囲は、社内外を問わず広がっています。エンドポイントのセキュリティーリスクも多く存在するため、対策を施すことが重要です。記事内でご紹介したセキュリティー対策を活用するのはもちろん、IT資産の取り扱いルールなどを徹底し、従業員に周知することも重要です。
