オフィスや在宅など、その時々に応じて最適な場所で働くハイブリッドワーク。前回は、まずリモートワークに必要かつ基本的なアクセス手段としてCisco AnyConnectを紹介しました。今回は、ハイブリッドワークで特に重要性を増す「エンドポイント」のセキュリティを強化する製品を紹介していきたいと思います。

■その1. Cisco AnyConnectについてはこちら

攻撃の的になる企業のエンドポイント

エンドポイントが今日の働き方で重要になる理由は、リモートワークにてユーザーのデバイスが、厳重なセキュリティ対策が施された社内ネットワークの範囲から外れてしまい、対策が手薄になってしまうからです。そのため、社内のセキュリティ対策の恩恵を受けられないため、エンドポイントデバイス単体で脅威から身を守らなくてはなりません。

エンドポイントが重要視される理由としては、そもそもエンドポイントが攻撃の入り口になりやすいという点もあります。依然として世界中で猛威を振るうランサムウェアも、その多くはメールから不審な添付ファイルを開き、不正なプログラムを実行してしまうことから感染が広がっています。

凶悪なマルウェアとして数年前に流行し話題になったEmotetも、感染後に組織内部で巧妙に攻撃活動を行うことが知られていますが、これも感染のきっかけは、攻撃者からのメールに添付されたWordやExcelファイルに仕込まれた悪意のあるプログラムでした。

これからのエンドポイントはEPPとEDR

ではこうしたエンドポイントへの脅威にどのように立ち向かっていけばよいのでしょうか。重要となる1つ目の考えは、脅威が侵入しないように防御するという考え方です。これはすでにアンチウイルスソフトなどで多くの企業が導入しており、その必要性は自明でしょう。最近では、アンチウイルスソフトはより包括的な機能を提供するようになりEPP（Endpoint Protection Platform）と呼ばれているものもあります。

もう1つの重要な考え方が、万が一侵入してしまった脅威を「素早く発見し、被害を拡大させないように対処する」というものです。これを実現するために市場で提供されているのがEDR(Endpoint Detection & Response)製品です。

つまり、EPPで対策しながら、そこですり抜けた脅威をEDRで対処し、被害の拡大を防ぐという仕組みが今後はより広がっていくでしょう。

現代の脅威にはEPPとEDRの組み合わせが有効

EDRを超えたXDRにも高い注目

こうしたエンドポイントへの対策の動向を踏まえた上で、ここからはシスコシステムズのソリューションを紹介しましょう。

シスコシステムズというとネットワークの印象を強くお持ちの方もいらっしゃるかもしれませんが、実はエンドポイント向けの強力なセキュリティソリューションとして「Cisco Secure Endpoint」を提供しています。同ソリューションはEPPとEDRの双方の機能を提供することで、脅威に対する「防御」「検出」「対応」をカバーしているだけでなく、こうした一連の機能をさらに強化した「XDR」の機能を搭載していることが特徴です。

エンドポイントでの「防御」「検出」「対応」の機能例

XDRとは「eXtended Detection and Response」の略であり、その定義は各社によって異なりますが、従来のEDR単体よりもさらに機能を発展させ、脅威の検出や対処をより高度化したものです。具体的には、NDR（Network Detection and Response）との連携によってエンドポイントだけでなく広範な範囲で脅威の挙動を見る、AIなどを用いて脅威の分析をより高度に行う、脅威の調査および修復を自動化・迅速化するなどの機能を備えているものもあります。

Cisco Secure Endpointの概要

Cisco Secure Endpointには、「Essentials」「Advantage」「Premier」の3つのライセンスが用意されています。ベースとなるのはEssentialsであり、AdvantageとPremierはこのコア機能をベースにより多くの機能が利用できます。

○防御機能

まずCisco Secure Endpointを防御の機能から見ていきましょう。Cisco Secure Endpointは、ポリシー設定をベースに悪意のあるアクティビティを自動的にブロックします。ここではクラウド上に蓄積された最新の情報を活用しながら判断・防御を行いますが、もちろん、多くの従来製品のようにオンプレミス側で持つパターンファイルによる脅威の判定も行います。

さらに、パターンファイルベースではなく、新たな攻撃に対応するために、エンドポイントのふるまいから脅威を検出する仕組みも搭載しています。数年前から広く流行しているメモリベース／ファイルレスの攻撃に対する防御機能も備えています。

○検出機能

次にエンドポイントでの「検出」という視点で見てみましょう。

具体例としては、危険な脆弱性のあるバージョンのソフトウェアを実行しているエンドポイントを特定してパッチの適用を促す機能や、組織内にある一般的に用いられないようなアプリケーションが使用されていないかを特定する機能、ファイル侵害の兆候を検知する機能などがあります。ファイルレスまたはメモリのみのマルウェアやWeb ブラウザのみに存在する感染を検出するのに役立つ、シスコシステムズのグローバル脅威アラート（旧 Cognitive Threat Analytics）とも統合されています。

またCisco Secure Endpointでは、API統合を活用することで、ユーザーはサードパーティツールやSIEM製品と容易に統合でき、エンドポイントセキュリティのアカウントでさまざまなデータやイベントにアクセス可能です。

○対応機能

エンドポイントでの「対応」の機能は文字通り発見した脅威に対して、どのような処置を行い対応していくか、というまさにEDRの重要な機能を指す部分です。

Cisco Secure Endpointの機能例では、ある時点で一回の許可/拒否の決定を行うだけではなく、継続的に監視を実施し、新しい状況や新しい脅威インテリジェンスをもとに判断する「レトロスペクティブイベント」、侵害が疑われたエンドポイントを自動的に隔離する「エンドポイントの隔離」、またそれ以外にもEDRのさまざまな機能を実行したことをトリガーに処理を自動化する「アクションの自動化」などがあります。

特にCisco Secure Endpointを特徴づけるのが、セキュリティ可視化を支援するためのクラウドネイティブなセキュリティプラットフォームである「Cisco SecureX」との統合です。SecureXでは、エンドポイント、クラウド、ネットワーク、アプリケーションのデータをまとめて分析し、リスクや脅威への対応を効率化できます。Cisco Secure Endpointと統合することで、エンドポイントの脅威の対処も容易になります。

​​​​​​​上位プランでは高度な「脅威ハンティング」も利用できる

Essentialsの上位の「Advantage」「Premier」のライセンスではより高度な機能を利用できます。

Advantageライセンスでは、Orbital Advanced SearchとCisco Secure Malware Analytics（旧 Threat Grid）へのコンソールアクセスが可能になります。Orbital では、レジストリキー、実行中のプロセス、インストール済みのライブラリとアプリケーション、ユーザアカウント、ネットワーク接続など、実行中のシステムの幅広い属性を検索できます。これらは、予防的な脅威ハンティング、迅速なインシデント対応、フォレンジック情報（スナップショット）のキャプチャ、IT 運用、コンプライアンスレポートなどに有効です。

Premierライセンスには、Essentialsの基本機能とAdvancedの検索機能に加えて、SecureX「脅威ハンティング」が含まれます。これは例えるならCisco Secure Endpointコンソール内にシスコシステムズの脅威研究者が常駐しているような機能ともいえるでしょう。脅威ハンティングでは、シスコシステムズのさまざまな情報ソースや調査によるデータを用いながら、組織内に侵入した脅威を探し出し、特定された脅威に対する推奨手順などを提示できます。

ハイブリッドワークが広がる現在では、エンドポイントの管理は簡単ではありませんが、だからこそエンドポイントそのものに高度なセキュリティ製品が必要とされているといえます。もちろん、エンドポイントではなくネットワークの可視性を高めることでも脅威を検知し、エンドポイントを含む企業全体を保護することもできます。次回は、こうしたネットワークの可視性を高めてハイブリッドワーク環境を保護する製品について紹介します。

関連記事