業界トレンド
エンドポイントセキュリティの 不変の重要性
パンデミックによって働き方は大きく変わり、リモートワークを採用する組織は増えています。当初は顧客サービスや配送サービスのデジタル化、オンライン注文などをサポートするために、突然ビジネスモデルの変更を余儀なくされた組織もありました。その一方で、職場よりも在宅勤務の方が生産性の向上や快適な作業環境の確保ができるなどの発見もありました。実際、リモートワークは多くの組織にとって、物理的なオフィスにかかるコスト削減、幅広い人材の確保など、さまざまな利点があります。そのため、ITチームに大きな負担を強いても、リモートアクセスを導入することには意味があります。
働き方が変化し、少なくとも以前のように全社員がオフィスで働くことはないと認識する企業が増えています。それと同時に、ランサムウェア攻撃も急増しています。リモートワークの増加に合わせて高度な脅威も増加しているため、組織がインフラストラクチャとユーザーを保護する上でエンドポイントセキュリティはますます重要になっています。
高まるエンドポイントセキュリティの重要性
デジタルイニシアチブとリモートワークモデルをサポートすると、ネットワークにおけるサイバー攻撃の対象は急増します。マルウェアやランサムウェアなどの脅威は、保護が不十分なエンドポイントデバイスとホームネットワークを悪用して組織を脅かします。2020年の後半、リモートワーカーの急増とともにランサムウェアが7倍に増加し、2021年には新しい攻撃が注目されるなど、脅威はますます高度になっているため、より強力なエンドポイントセキュリティが必要です。
ネットワークの分散化が進み、従来型のネットワークの境界が消失したことでセキュリティの課題は複雑化しています。複雑化した課題を解決するには、最新のエンドポイントセキュリティソリューションに移行し、ゼロトラストモデルを採用することが最初の一歩となります。エンドポイントセキュリティソリューションにはデバイスとその状態の高度な可視化、強力な保護対策、リモート監視ツールのほか、あらゆるエンドポイントデバイスに対応した修復機能が必要です。また、ゼロトラストモデルはユーザーやリソースの場所を問わず、リソースやアプリケーションへのアクセスを保護するのに十分な柔軟性を備えている必要があります。
最新のエンドポイントセキュリティのコンポーネント
従来の第1世代エンドポイント保護プラットフォーム(EPP)では、脅威インテリジェンスベースの防御が重視されましたが、現在では振る舞いベースの新しい保護アプローチが主流になっています。ただし、サイバー脅威がますます高度になっていることを考えると、新しいアプローチでも長期にわたって100%防護することは不可能です。
また、従来のエンドポイント保護を補完するように設計された第1世代EDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)製品も、動きの速い大規模なサイバー攻撃には対応できません。大量の誤検知のアラートの中から脅威を検知するには時間がかかるため、セキュリティチームの処理が追い付かず、その間に組織のサイバーリスクは拡大します。
従来のEPPの上にEDRを継ぎはぎのように固定するパッチワークのようなアプローチは、組織のデジタル化とリモートワーク導入が進んだ現在ではもはや十分ではありません。そのため、最新のエンドポイントセキュリティを以下の機能と統合する必要があります。
- 攻撃の予測と防止(攻撃対象領域の削減とマルウェアからの防御)
- 脅威の検知と無効化(リアルタイムの脅威の検知と無害化)
- 脅威への対応、調査、追跡(フォレンジック調査と修復)
FortiEDRは感染前と感染後の保護や検知とレスポンスに振る舞いベースのアプローチを採用し、ゼロから設計した統合エンドポイントセキュリティソリューションです。この統合ソリューションでは、独自の機能によって脅威のブロック、検知、無効化がすべて自動化されるため、侵害を効果的に阻止し、ランサムウェア攻撃による暗号化を防止できます。
他のEDRベンダーは最初の検知には手動で対応することが多いため、30分から数時間かかることもあります。それに対し、FortiEDRでは感染前に検知して排除できます。マルウェアの外部への通信がブロックされ、ファイルシステムへのアクセスが拒否されるため、ファイルの漏えいやランサムウェアの暗号化をリアルタイムで防止できます。
また、脅威を排除するために、プロセスを終了したりエンドポイントを隔離したりする必要もありません。FortiEDRではシステムの操作がきめ細かく追跡され、すべての操作が十分に確認されてから脅威が確実にブロックされます。そのため、誤検知のリスクが減少し、サイバー攻撃の最終的な目的を阻止できます。
また、インシデントの継続的な分析にも十分な時間を確保できます。万が一、ブロックの解除が必要になった場合でも、ユーザーやビジネスに影響せずに解除できます。
さらに、FortiEDRでは疑わしい操作の継続的な評価と分類も自動化できます。ブロックのしきい値を下回る操作もクラウドで提供する人工知能とマイクロサービスによって継続的に分析されます。ブロック対象と判断されると対策が実行されますが、これもカスタマイズ可能なプレイブックによって自動化できます。プレイブックを使用すると、脅威の分類とポリシーグループをベースに組織固有のレスポンスと修復の手順を事前に定義して、自動で実行できます。また、セキュリティアナリストはこの自律的なエンドポイントセキュリティソリューションによって、自動化の継続的な改善、特定されたサイバー攻撃の研究、セキュリティ態勢強化のための時間を確保できます。
ゼロトラストネットワークアクセスへの移行
前述のように、パンデミックの終了後も、多くの社員が一定時間以上はリモートワークを続ける可能性が高いため、組織は引き続きリモートワークをサポートする必要があります。また、昨年の脅威を見ると、今日の動的な分散ネットワークへのリモートアクセスを安全に管理するにはVPN以外のテクノロジーも必要です。そのため、エンドポイントデバイスの保護にはEDRに加えて、ゼロトラストネットワークアクセス(ZTNA)も導入する必要があります。ZTNAを導入すれば、アプリケーションアクセスに関連する問題にも対応できます。
以前は、オフィス内ではアクセスするアプリケーションを制限するだけで十分保護できましたが、それはあくまでもオフィス内だけの話です。移動中やオフィス以外の場所にいるユーザーはVPNを使用して接続していましたが、そうすると多くの場合、使用するアプリケーションだけでなく他のすべての資産にアクセスすることができます。デバイスやユーザーがこのように自動的に信頼されると、組織のデータ、アプリケーション、知的財産のリスクは上昇します。
ゼロトラストセキュリティモデルはこれとは正反対のアプローチです。証明されるまでユーザーやデバイスは信頼されません。つまり、ユーザーとデバイスにアクセス権があることが確認されない限りトランザクションは許可されません。
フォーティネットでは、エンドポイントエージェントとFortiOSを組み合わせてすべてのセッションのアイデンティティが検証されます。ユーザーが本社にいても他の場所から接続していても、アクセスできるアプリケーションは制御されます。ユーザーはすべてのセッションでアプリケーションにアクセスするたびに検証されます。アプリケーションへのアクセスも役割などに基づいて制限されます。
FortiGate次世代ファイアウォール(NGFW)とFortiClientエンドポイント保護ソリューションはZTNA機能を採用しているため、バージョンFortiOS 7.0以降のFortiOSでは既存のフォーティネットのインフラストラクチャをゼロトラストアーキテクチャに移行できます。FortiEDRとZTNAの両方がFortiOSに緊密に統合されるため、インフラストラクチャ全体の管理が容易になり、優れた可視化が実現します。
また、フォーティネットのZTNAの導入はSASEに依存しません。多くのゼロトラストソリューションはクラウドのみのため、オプションが制限されます。それに対し、フォーティネットのZTNAソリューションはオンプレミスとクラウドのいずれにも導入できます。また、ZTNAがFortiOSに直接組み込まれているため、フォーティネットのお客様はFortiGateファイアウォールなどの他のフォーティネット製品への既存の投資をZTNA戦略で活用できます。ZTNAはフォーティネットのセキュアなSD-WANソリューションと同様、FortiGateに含まれる標準機能として無料で提供されるので、いつでもVPNからZTNAアクセスに簡単に移行できます。
フォーティネット セキュリティ ファブリックとEndpoint Security Duoの統合
リモートアクセスソリューションの導入には多様なコンポーネントが必要とされ、ベンダーも異なるため、すでに過負荷の環境がさらに複雑化します。また、コンポーネントを実行するオペレーティングシステムも複数あり、管理と構成に使用するコンソールも異なることが多いため、強力なエンドポイントセキュリティとリモートアクセスの導入は複雑どころか不可能な場合さえあります。
フォーティネットでは安全なリモートアクセスを単一ベンダーによって簡単に確立できるだけでなく、すべてのコンポーネントをフォーティネット セキュリティ ファブリックによって統合できます。セキュリティ ファブリックはアーキテクチャをベースにしたセキュリティアプローチなので、分散ネットワークに対応した単一の統合セキュリティシステムにさまざまなセキュリティデバイスを接続できます。これは、リソースが分散し、ユーザーが異なる場所から接続する組織には不可欠な機能です。この機能を通してネットワークの状態を確認できるため、どんなに離れた場所にいてもセキュリティを確保できます。
ネットワーク内外のユーザーとデバイスの保護の詳細については、フォーティネットのエンドポイントセキュリティおよびデバイス保護のソリューションをご覧ください。
ネットワークに接続するIoTデバイスの完全な可視化と制御については、ミラード公立学校とOrigoのケーススタディをご覧ください。
