エンドポイント・セキュリティ対策の勘所[前編]
クライアント環境を襲う各種の脅威に立ち向かう最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。前編となる本稿では、今一度エンドポイント・セキュリティの定義について整理する。
そもそも「エンドポイント」とは
まず始めに、エンドポイントの定義について触れておこう。同用語に関しては「End=終わり、末端」「Point=点」と比較的直感でとらえやすい単語の組み合わせであるため、おぼろげながらも何らかのイメージを持つことができるのではないだろうか。
エンドポイントとは、それについて考えを巡らせた大抵の人がとらえているイメージからほぼ外れることなく、「ネットワークに接続され、クライアントとして利用されるデバイス」を指す。具体的には、デスクトップ型やノート型などのPC端末が第一の対象として挙げられる。また、今日ではPDA、携帯電話、スマートフォンなどのモバイル機器を用いて社内ネットワークにアクセスするケースも一般化しつつあることから、そうしたデバイスもエンドポイントの対象に含まれると見るべきである。また、場合によっては、ネットワークのホストとして機能するアプリケーション・サーバまでエンドポイントの対象として見なすこともある。
なお、「ネットワークに接続され〜」と定義され、モバイル機器も対象に含まれることから、ネットワークへの接続形態は、当然ながら社内LANへの接続という単一のケースだけではない。今日では、自宅のADSL接続サービス、あるいは公衆無線LANからリモート・アクセスで社内ネットワークに接続するといったケースも存在するため、対象となるデバイスは、社内に設置されているとは限らないという点も見逃せない。
なお、「ネットワークに接続され〜」と定義され、モバイル機器も対象に含まれることから、ネットワークへの接続形態は、当然ながら社内LANへの接続という単一のケースだけではない。今日では、自宅のADSL接続サービス、あるいは公衆無線LANからリモート・アクセスで社内ネットワークに接続するといったケースも存在するため、対象となるデバイスは、社内に設置されているとは限らないという点も見逃せない。
■エンドポイントの定義 ネットワークに接続され、クライアントとして利用されるデバイス
■エンドポイントの具体的な対象例 (1)デスクトップ型やノート型などのPC端末 (2)PDA、携帯電話、スマートフォンなどのモバイル機器 (3)アプリケーション・サーバなどのサーバ・マシン(ケースによる)
エンドポイント・セキュリティで講じられる対策
エンドポイントの指す内容やその対象を整理したところで、次に「エンドポイント・セキュリティ」について説明しよう。同用語は言うまでもなく“エンドポイントを対象としたセキュリティ”ということになるが、現在、セキュリティ市場で提供されているエンドポイント・セキュリティ製品/ソリューションの動向を鑑みると、具体的には以下のような対策が講じられることになる。
(1)エンドポイントに対する攻撃や脅威の侵入の防御 (2)エンドポイントからネットワークに侵入する脅威の予防 (3)エンドポイントを介した情報漏洩の予防、防止
(1)の対策では、クラッキング対策やウイルス対策といったコンピュータ・ネットワーク防御(CND:Computer Network Defense、注1)の統合運用が実施される。対象となる脅威には、ウイルスやワームのほか、この2、3年で広く認知されるようになったスパイウェア、ボットといった悪意を持ったソフトウェア(マルウェア)も含まれる。なお、この対策については、クライアント・セキュリティという表現が用いられることもある。
注1:コンピュータ・ネットワーク防御(Computer Network Defense:CND)とは、悪意を有する人・組織が通信を介して情報システムの機能を低下させたり奪取したりしようとしていることを検知して、適切に保護すること
(2)の対策では、エンドポイントからネットワークにもたらされる脅威、ならびに、ネットワークに接続された他のエンドポイントへの被害を阻止することが主な目的となる。そのため、厳密にはエンドポイント自体のセキュリティ対策というよりも、エンドポイントが接続されたネットワークのためのセキュリティ対策ということになる。この対策では、ネットワークに接続される前のエンドポイントのセキュリティ状況を確認し、必要に応じてその状態を適切に変更したうえで接続を許可するというプロセスを踏む。エンドポイント自体のセキュリティを高めることで、その目的を果たすことから、実際に何を行うかという点については前項と類似しているとも言える。
(3)の対策では、ある特定の場所から、人物・組織によって情報が漏洩されることを検知して適切に保護する「秘密保全管理」が実施される。脅威の対象として第一に挙げられるのが、事業者内部の関係者だ。情報漏洩の経路は、エンドポイントに接続された外部記憶媒体(USBメモリなど)や、エンドポイントにインストールされたP2Pファイル共有ソフトやFTPクライアントなどの通信系ソフトを中心に多岐に及ぶ。
(3)のような情報漏洩対策は、エンドポイント自体のセキュリティとは異なるものの、情報セキュリティにおけるリスクとしては、ユーザーが特に懸念している事項である。図1は、情報セキュリティにおける脅威やリスクについての問いに対して、情報システム部門の意思決定層が回答したアンケート結果であるが、情報漏洩の多くは内部の関係者が関与していることもあり、同アンケート結果が示すように、従業員がエンドポイントから機密データにアクセスして業務を行う際には、適切な管理を行うことが重要となる。
以上の対策を比較すると、純粋にエンドポイント自体の保護を目的としているのは(1)だけであり、他の2つは、エンドポイントを介したネットワークやデータに対するリスクへの対応要件となっている。このため、狭義では(1)がエンドポイント・セキュリティの指す主要件であると言える。
ただし、エンドポイントとはそもそもネットワークに接続されるデバイスを指すことから、エンドポイントのリスクが、エンドポイントが接続されるネットワーク自体や、エンドポイントからアクセスされる機密情報などに対するリスクにつながってしまう。このため、エンドポイント・セキュリティは、それ自体の防御だけでなく、(2)や(3)のような多様なセキュリティを包括的に管理する概念となりつつある。
