.png)
とは
エンドポイントセキュリティ
?
エンドポイントプロテクションの歴史は?
最初のコンピューターウイルスは、今日考えているように、1971年のクリーパーと考えられています。Creeper はメインフレームを標的にし、Reaper と呼ばれる最初のウイルス対策ソフトウェア (AV) を開発しました。興味深いことに、Reaperは実際にはCreeperを駆除することを目的としたコンピューターワームでした。
1994年にさかのぼってみましょう。AV-Testが28,613件のユニークアイテムがあると報告しましたマルウェアデータベース内のサンプルから、コンピューターウイルスが今後も問題になることが確認されました。マルウェアが脅威として台頭する中、今日私たちがよく知っている市販のウイルス対策製品の多くが1990年代に市場に投入されました。
アンチウイルスはどのように機能しますか?
最も基本的な従来のAVは、いわゆる「シグネチャベースの検出」を使用して、エンドポイントで実行されるウイルスやマルウェアを検出してブロックしていました。
NGAV と EDR の最新のエンドポイントセキュリティは脅威を阻止するのに非常に効果的ですが、100% 効果的なベンダーや手法はありません。
新しいマルウェアやウイルスが発見されると、エンドポイントセキュリティベンダーはシグネチャを開発し、そのシグネチャをベンダーのシグネチャデータベースに追加して、自社のソフトウェアを実行しているすべてのコンピュータにインストールします。シグネチャにより、AV ソフトウェアはファイルをスキャンして (できれば) すべてのマルウェア/ウイルスを認識し、それらの実行をブロックできます。
攻撃者はシグネチャの更新プロセスを賢く理解するようになりました。マルウェアをブロックする AV スキャンを回避するために、マルウェアの背後にいる攻撃者は AV データベースのシグネチャと完全に一致しないように悪意のあるファイルを少し調整し、感染を引き起こしました。
エンドポイントセキュリティ業界は、ヒューリスティックまたは汎用的な検出によってこの問題に対処しようとしました。わずかに更新されたマルウェアでは、コードの一部が古い亜種と共有されるため、マルウェア間の重複するコードをヒューリスティックで検出することが可能になります。
アンチウイルス保護はどの程度効果的でしたか?
ヒューリスティックにもかかわらず、私たちが長年使用してきたウイルス対策は、マルウェアを阻止する効果を失っていました。2014 年に行われた調査では、ほとんどのセキュリティ担当者がすでに知っていることが確認されただけで、ウイルス対策ソフトウェアの有効性が測定されました。最終的には、「ほとんどの場合、ほとんどのマルウェアを検出できるAVベンダーは1つもない」と結論付けました。さらに、「0日目には、新しいマルウェアのサンプルを検出したAVスキャナはわずか51%でした」と述べています。
エンドポイント保護プラットフォームとは
より強力な保護が必要であることを考えると、 エンドポイントセキュリティ ベンダーは、パーソナルファイアウォール、ホスト侵入防止、データ損失防止(DLP)、ホスト暗号化などの追加機能を含むように製品をさらに充実させました。これらの新機能がアンチウイルスに追加されたことで、エンドポイントセキュリティスイートはエンドポイント保護プラットフォーム (EPP) として知られるようになりました。この追加機能は便利ではありますが、マルウェアの検出率を大幅に向上させることはできず、依然としてエンドポイントセキュリティの主な機能です。
エンドポイントセキュリティはどのように進化してきましたか?
幸いなことに、次世代ウイルス対策(NGAV)、エンドポイント検出および対応(EDR)、エンドポイントセグメンテーションツールの台頭により、過去5年間でエンドポイントセキュリティ分野は急速に発展してきました。ファイルレス攻撃や自己増殖型のランサムウェアが一般的であり、それらに対抗するにはより高度なツールが必要であることを考えると、これは歓迎すべきことです。
これらのツールには、多くの場合クラウドで提供される機能が必要ですが、現在ではエンドポイントセキュリティにおいて必須となっています。主な手法の 1 つは、潜在的なマルウェアを仮想環境で実行して、ファイルが悪意のあるファイルかどうかを判断するサンドボックス型マルウェア分析です。
より広義には、クラウドストライクはNGAVを次のように定義しています。
... 人工知能、行動検知、機械学習アルゴリズム、エクスプロイト緩和機能を組み合わせることで、既知および未知の脅威を予測し、即座に防ぐことができます。
脅威の検出に使用される機械学習は、実行前にマルウェアを識別し、何百万ものファイルの特性をリアルタイムで評価して、ファイルが悪意のあるものかどうかを判断するアルゴリズムで構成されています。エクスプロイト対策は、脆弱性を狙ったマルウェアレス攻撃を防ぐのに役立ちます。
攻撃や侵害の指標は、今日エンドポイントセキュリティでよく使用されているもう1つの手法です。正規のシステムアクティビティと疑わしいアクティビティの両方の動作を調べて、マルウェア感染の試みや悪意のあるアクティビティを示す一連のイベントを検出します。
EDRのようなツールはNGAVを補完してエンドポイントの詳細な可視性を提供し、悪質なファイルやプロセスを検出して即座に封じ込めます。EDR は、ファイルの行き先や動作を追跡するためにファイルを監視するだけでなく、エンドポイントのアクティビティも調べて、プロセス、DLL、レジストリ設定、ネットワークアクティビティの変更など、マルウェアやランサムウェアと一貫性のあるものがあれば警告します。
対応機能には、脅威がさらなる被害をもたらすことを防ぐために、ファイルを遡及的に削除したり、エンドポイントを分離したりすることが含まれます。また、EDRはエンドポイントを詳細に可視化できるので、脅威ハンティングによる攻撃や侵害の兆候を積極的に探すことができ、詳細なフォレンジックも実施できます。
現在、最も信頼されているツールはどれですか?最近の調査によると、EDR は 73% と最も一般的ですが、回答者は既知の悪質なファイルをすべてブロックするウイルス対策機能を備えていることも認めています。回答者の大半が EDR 機能を備えているのは、ウイルス対策を頼りにしているエンドポイントセキュリティベンダーが EDR 機能を追加したことが原因と考えられます。
エンドポイントセキュリティの未来とは?
エンドポイントセグメンテーションは、ランサムウェアやマルウェアの拡散を防ぐために使用されるもう1つのエンドポイントセキュリティツールです。
NGAV と EDR の最新のエンドポイントセキュリティは脅威を阻止するのに非常に効果的ですが、100% 効果的なベンダーや手法はありません。最近の調査によれば、回答者の 56% が、自社のエンドポイントセキュリティツールがマルウェアの 1 ~ 10% を見逃していると感じています。
このため、エンドポイントにゼロトラストを追加するために、NGAV や EDR と並行してエンドポイントセグメンテーションが導入されています。明示的に許可されていないエンドポイント間の通信をすべて遮断し、ランサムウェアなどの脅威が全社的なランサムウェアやマルウェア攻撃のリスクを軽減するために悪用する攻撃対象領域を大幅に減らします。