新型コロナの感染拡大によるテレワークの導入は、多くの企業にとって想定外の対応だった。そのため、企業によってテレワークへの備えがまちまちであった点が課題として現れている。

もちろん、2020年夏に予定されていた東京五輪・パラリンピックに向けて、従業員の通勤を減らす、あるいは「働き方改革」の一環として勤務形態の多様化を図るといった観点から、テスト導入段階として「部分的に対応可能」だったテレワークを急きょ、全面的な実施に踏み切ったという企業もある。しかし一方で、大半の企業では十分な準備はなされていなかったといってよいだろう。その実情は、取り急ぎ、持ち出し用のPCやWi-Fiルーター、遠隔コラボレーションツールなどを導入し、従業員が自宅で何とか仕事ができるように間に合わせたというものだ。

ここで大きな課題となるのが、セキュリティへの対応だ。従来型の社内ネットワークのセキュリティ対策としては、ファイアウォールやアンチウイルスを活用するものが主だった。ところが、インターネットの活用を前提とするテレワークの環境では、これらの対策が必ずしも有効とはいえない。

近年、業務で使用する端末機器はデスクトップPCやノートPC、スマートフォン、タブレットなど多様化しているため、エンドポイントに対するセキュリティは、それぞれの端末の仕様や使い方に合わせて考えなければならない。

エンドポイントを取り巻く環境の変化によるリスクもある。例えば、無線LANに接続するWi-Fiの普及は、利便性を大きく向上させたが、安易に公衆Wi-Fiなどを利用すれば、通信内容を傍受されるだけでなく、PC内の情報が漏えいする危険性がある。また、クラウドサービスやクラウドアプリケーションの利用機会も大幅に増えたが、それらのアカウント情報を盗まれれば、重要なデータにまで被害が及ぶ可能性が高い。

標的型攻撃によって、特定の組織や個人がピンポイントで狙われる危険性もある。ウイルスやワームなど、不正で有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードといったマルウェアが、セキュリティソフトの検知を回避する能力も向上しており、エンドポイントである端末への攻撃を完全に防ぐことは不可能に近い。

使用している端末機器の1台がマルウェアに感染しただけで、社内ネットワークに接続すると同時に他の機器へも感染が広がってしまう可能性もある。

つまり、これまでのようにインターネットと社内ネットワークの境界にセキュリティ対策を施すだけでは脅威は防ぎきれず、端末機器そのものを保護する「エンドポイントセキュリティ」を構築する必要があるのだ。

エンドポイントセキュリティの決め手は「いつでもどこでも信頼できる環境ではない」という前提に立つことだ。そのうえで徹底して端末機器の保護を目指す必要があり、こうした性悪説に基づくアプローチは「ゼロトラストモデル」と呼ばれる。ゼロトラストモデルの代表例として2つのセキュリティソリューションを挙げてみよう。

１．NGAV（Next Generation Anti-Virus：次世代型アンチウイルス）

NGAVは巧妙化するサイバー攻撃に対応するためにアンチウイルスが進化したもので、従来の方法では検知できないサイバー攻撃でもNGAVなら対処できる。具体的には、人工知能（AI）による脅威検知、アプリケーションの動きを見て不審な動作をブロックする振る舞い検知などを活用することでリスクを防ぎ、「ゼロデイ」攻撃と呼ばれる登録されていない攻撃からエンドポイントを守る。

アンチウイルスで対処できていた既存のマルウェア攻撃だけでなく、対処が難しかったファイルレスマルウェア攻撃にも対応できるため、より強固なセキュリティ対策といえる。

中にはエンドポイント上で動作しているアプリケーションのアクティビティ情報を収集・解析、機械学習アルゴリズムによって不審な動作を検知して止めるものもあり、こうした既存の脅威だけでなく、未知の脅威に対しても効果を発揮するわけだ。

２．EDR（Endpoint Detection and Response：エンドポイントでの検出と対応）

「EDR」はエンドポイントでの不審な挙動やその痕跡を検出・調査に焦点を当てたツールだ。標的型攻撃はもちろん、感染した機器を暗号化などで使用不能にし、元に戻すことと引き換えに「身代金」を要求するランサムウェアによるサイバー攻撃を検出して対応する。

EDRはエンドポイント上で不審な動きがないかどうかを常時監視するために、専用のエージェントソフトウェアを導入し、ログを常時取得している。ログデータはサーバー上に収集、分析処理を行い、疑わしい挙動の痕跡が見付かればその旨をすぐに管理者に通知する。通知を受け取った管理者はEDRの管理画面でログの内容をさらに精査し、問題の根本原因や影響範囲を調べて適切な対応を取ることになる。こうした事後対応は迅速かつ効率的に行う必要があるため、EDRはログの内容をさまざまな角度から分かりやすく可視化する機能も備えている。

EDRのロジック

近年のサイバー攻撃の手口は極めて高度化・巧妙化している。ゼロトラストモデルは単にそうしたリスクに備えるためのものではなく、働き方や端末の多様化、テレワークに伴うリスクなど、近年のさまざまな動向をカバーする働きもある。

「withコロナ」の時代に入り、従来型ではないセキュリティ対策の重要性はさらに高まっている。この機会にエンドユーザー様の利用環境のリスクを洗い出し、ゼロトラストモデルによる対策を提案してはどうだろうか。