エンドポイントとは
エンドポイントとは、ネットワークに接続された物理的な端末や機器全般を表すIT用語です。英語の「Endpoint」には「終点、終了点」といった意味があり、端末を利用する従業員とネットワークの接点となる役割を持ちます。
具体的には、デスクトップパソコン・ノートパソコン、スマートフォン、タブレット、サーバー、IoT機器などが代表的な例です。従業員が業務用のクラウドサービスなどにアクセスする際に直接操作する端末が、エンドポイントとなります。
近年、IoT機器の普及や働き方改革によるテレワークの導入に伴い、エンドポイントの種類が増加しています。例えば、従業員が個人で所有する端末を業務に利用するBYOD(Bring Your Own Device)の導入が進んでおり、個人端末もエンドポイントに含まれるようになりました。
このように、従来のデスクトップパソコンやサーバーにとどまらず、エンドポイントの範囲は拡大しているといえます。
エンドポイントの例
エンドポイントとして利用される端末・機器の具体例は、以下の表のとおりです。
| 種類 | 概要 |
|---|---|
| デスクトップパソコン・ノートパソコン | 社内外で業務利用される端末。インターネットに接続してクラウドサービスやアプリケーションの利用、従業員や取引先とのデータ共有、コミュニケーションなど幅広い用途で使われる。 |
| スマートフォン・タブレット | 外出先で業務利用されることが多いモバイル端末。通話やメールチェック、アプリケーション利用などで使われることが多い。 |
| プリンター | パソコンなどの端末から送信されたデータを印刷する機器。インターネットに接続することで、パソコンと直接つながなくても遠隔から操作できる。 |
| IoT機器 | 工場の監視カメラやセンサー、ネットワーク経由で遠隔操作ができるオフィスの照明・空調設備など、多様な種類がある。 |
表はスライドできます
ネットワークに接続され、従業員が操作するデバイスがエンドポイントに含まれます。
エンドポイントの特徴とセキュリティへの影響
エンドポイントは、企業が業務を遂行する上で不可欠な存在です。しかし、前述のようにエンドポイントの種類は多岐にわたり、社内外のさまざまな環境で利用されています。さらに、従業員が直接操作するものであるという特徴から、セキュリティリスクを伴う点が懸念されます。
ここでは、エンドポイントの代表的な3つの特徴を切り口に、企業のセキュリティへどのように影響を及ぼすのかを見ていきましょう。
端末・機器の種類が多く管理が煩雑になりやすい
エンドポイントは種類が多く、IoT端末の普及やBYODの導入などにより企業が管理する端末・機器は増加傾向です。さらに、IT部門が把握しない機器・端末を従業員が無断で業務に使用するシャドーITが発生している場合もあり、管理が煩雑になっています。
このような状況では、端末ごとのOSやアプリケーションの種類が異なり、セキュリティパッチの適用やパスワードなどを一元的に管理することが難しくなるでしょう。その結果、以下のようなセキュリティリスクが懸念されます。
<懸念されるセキュリティリスク>
- OSやアプリケーションの更新状況が機器・端末によって異なり、最新版のパッチ適用が実施できていない場合、脆弱性が残りサイバー攻撃のリスクが高まる
- BYODのルールが不明確で従業員が個人端末を勝手に業務利用し、IT部門の管理外にあるためセキュリティ対策を十分に行えていない端末が存在する
- IT部門が管理するエンドポイントの数が多く、適切なパスワード管理やアクセス権限の設定、端末のセキュリティ対策が行き届かず、情報漏えいリスクが生じる
社外でも利用されるため従来の境界型防御では脆弱性が残る
ノートパソコンやスマートフォン、タブレットといったエンドポイントは、社外に持ち運んで場所に縛られず利用できる点が特徴です。しかし、従来の境界型防御ではエンドポイントの十分な保護が難しいという課題があります。
境界型防御とは、外部ネットワークと社内ネットワークの境界に、ファイアウォールなどのセキュリティ製品を設置し、外部からのサイバー攻撃を遮断する考え方です。
近年、テレワークと出社を組み合わせたハイブリッドワークを実施する企業が増加し、保護すべきエンドポイントは社外にも存在するようになりました。その結果、境界型防御では社外にあるエンドポイントの保護が難しくなり、以下のようなセキュリティリスクを生んでいます。
<懸念されるセキュリティリスク>
- マルウェアに感染した従業員が所有する端末から社内ネットワークに感染が拡大し、システム全体が被害にあうリスクが生じる
- マルウェア侵入を前提としたセキュリティ対策が行われておらず、感染が拡大して情報えいリスクが高まる
- 社内ネットワークを介さず、従業員の端末から業務用クラウドサービスに直接アクセスできる状況を放置することで、不正アクセスのリスクが高まる
従業員の操作ミスにより情報漏えいリスクがある
従業員が直接操作する点もエンドポイントの特徴であることから、操作ミスにより情報漏えいリスクが高まってしまいます。
例えば、悪意のあるメールをうっかりクリックして機密情報が詐取されるフィッシング詐欺の被害にあったり、メールを誤送信して別の取引先との重要な内容を流出させたりするケースが想定されます。
その他にも、以下のようなセキュリティリスクが発生する恐れがあります。
<懸念されるセキュリティリスク>
- 外出先でノートパソコンの紛失・盗難による情報漏えいリスクが生じる
- 通信内容が保護されないフリーWi-Fiにアクセスしてスマートフォンを業務利用することで、悪意のある第三者にIDやパスワードなどを盗まれるリスクが高まる
- 単なる操作ミスではなく、従業員が顧客情報を不正に持ち出すリスクもある
エンドポイントセキュリティ対策が重要な理由
エンドポイントセキュリティ対策が重要な理由は、業務用端末・機器は企業のデータやシステムにアクセスする入口であり、サイバー攻撃の標的となりやすいためです。特にノートパソコンやスマートフォン、タブレットなどは社外に持ち運んで利用されるケースも多く見られ、従来の境界型防御では脆弱性が残ります。
一台の端末がマルウェアに感染すると、社内ネットワーク全体に横展開して複数のシステムに被害が広がる可能性があります。顧客情報や機密データが流出し、損害賠償や法的責任に問われるリスクが発生するでしょう。
また、システム停止や業務中断によって、製品・サービスの提供も一時的にストップしてしまう点も課題です。顧客情報が流出した場合、「情報セキュリティ事故を起こした企業」として認識され、ブランドイメージや社会的信頼を損なう要因となります。
このように、エンドポイントは大きなリスクを抱えていることから、端末・機器のセキュリティ対策を強化していくことが重要です。
<懸念されるセキュリティリスク>
- OSやアプリケーションの更新状況が機器・端末によって異なり、最新版のパッチ適用が実施できていない場合、脆弱性が残りサイバー攻撃のリスクが高まる
- BYODのルールが不明確で従業員が個人端末を勝手に業務利用し、IT部門の管理外にあるためセキュリティ対策を十分に行えていない端末が存在する
- IT部門が管理するエンドポイントの数が多く、適切なパスワード管理やアクセス権限の設定、端末のセキュリティ対策が行き届かず、情報漏えいリスクが生じる
エンドポイントセキュリティの具体的な対策
ここでは、エンドポイントセキュリティの施策について具体的に紹介します。
エンドポイントの資産管理を実施
企業がエンドポイントを安全に運用するには、資産管理を実施することが重要です。具体的な方法は、以下のとおりです。
<エンドポイントの資産管理>
- ソコンやスマートフォン、タブレットなどの設定情報を自動で取得し、一元管理できるツールを導入する
- ツールを活用し、OSバージョンやシリアル番号、アカウントの状態、インストール済みのアプリケーションなどエンドポイントの状態を一覧で可視化する
加えて、ID管理やシングルサインオンを行うツールの導入も有効な方法の一つです。ユーザーごとに適切な認証レベルを設定することで、ID管理を強化できます。ユーザーはシングルサインオンにより、一つのID・パスワードの組み合わせで複数のクラウドサービスにログインできることから、業務効率化につながると期待できます。
- OneLogin
-
5,000以上のクラウドサービスやアプリケーションに対応した、クラウド型ID管理・シングルサインオンサービスで、ID管理の効率化とセキュリティ向上を実現
EPP・EDRの導入で脅威の検知・対応を実施
EPP・EDRといったセキュリティツールを導入することで、脅威の検知・対応を実施できます。EPP・EDRの意味については、それぞれ以下のとおりです。
| 種類 | 概要 |
|---|---|
| EPP(Endpoint Protection Platform) |
|
| EDR(Endpoint Detection and Response) |
|
表はスライドできます
以下の図のように、EPPは侵入前の防御を、EDRは侵入後の対応をそれぞれ担います。エンドポイントの多様化や保護範囲の拡大に伴い、EDRとEPPを組み合わせて運用することで、強固なセキュリティ体制を構築できるでしょう。
UTMによる多層防御の実施
エンドポイントの保護を強化する方法の一つとして、UTM(Unified Threat Management)の導入による多層防御も推奨されています。UTMは日本語で「統合脅威管理」と訳されます。
UTMは、個別のセキュリティ対策として実施されるファイアウォール、アンチウイルス、アンチスパムなど複数のセキュリティ対策を、一つのハードウェアに集約したものです。
近年、サイバー攻撃は高度化しており、ファイアウォール単体ではネットワーク攻撃を防御することが難しくなっています。不正アクセスやスパムメールなどの多様な攻撃に対応するためには、多層防御を実現できるUTMの導入が求められています。
- UTM typeW
-
多様なセキュリティ機能搭載のUTM機器の導入支援から設置、保守、監視、レポートまでワンストップで提供
端末へのアクセス制御
エンドポイントへのアクセス制御を行うことも、端末・機器を保護する上で重要です。アクセス制御によって、権限を持つ許可されたユーザーのみがシステムを利用できるようになり、セキュリティの確保につながります。
すべての従業員に管理者権限を与えてしまうと、機密情報の改ざんや操作ミスによるデータ削除などのリスクが高まります。情報漏えいやアカウントの乗っ取りを防ぐために、各従業員には最小限の権限のみを付与するなど、適切なアクセス制御を行うことがポイントです。
従業員のセキュリティリテラシーの向上
日々の業務で利用するエンドポイントを保護する上で、従業員一人ひとりのセキュリティリテラシーを向上させる取り組みも大切です。従業員に定期的なセキュリティ研修を実施することで、最新のサイバー攻撃の特徴や手口、対策について理解が深まります。
セキュリティ研修では、以下のポイントを含めて共有するのがおすすめです。
<セキュリティ教育の内容例>
- フィッシング詐欺の手口やマルウェア感染経路など、最新のサイバー攻撃の特徴と対策
- パスワードの適切な管理方法
- メールの誤送信を防ぐ方法
- ノートパソコンなど端末の持ち出し・返却ルール など
入口・内部・出口対策の実施
効果的なセキュリティ対策を実施するには、入口・内部・出口対策の3つの観点から行うことがポイントです。従来、セキュリティ対策の考え方は「外部からの不正アクセスをどのように防ぐか」という入口対策が中心でした。
しかし、サイバー攻撃が巧妙化している現代では、入口対策のみでは完全な防御が困難です。そこで、「侵入後に検知・対応する」という考えの内部対策、「攻撃を受けても外部への情報流出を防ぐ」という出口対策も含めて取り組み、被害を最小限に抑える考えが重要視されています。
このうち、エンドポイントへのセキュリティ対策は「内部対策」に当てはまります。それぞれの概要とセキュリティ対策の具体例は、以下のとおりです。
| 対策の種類 | 概要 | セキュリティ対 |
|---|---|---|
| 入口対策 |
|
|
| 内部対策 |
|
|
| 出口対策 |
|
|
表はスライドできます
ただし、多様なセキュリティ製品の中から自社にとって必要なものを選択し、導入から運用、管理まで行うことは現実的ではないでしょう。そこで、入口・内部・出口の3つのセキュリティ対策を提供するベンダーに相談してみるのも一つの方法だといえます。
- UTM typeW
-
多様なセキュリティ機能搭載のUTM機器の導入支援から設置、保守、監視、レポートまでワンストップで提供
NURO Bizのセキュリティ製品でエンドポイントを保護
ソニービズネットワークス株式会社の「NURO Biz(ニューロ・ビズ)」は、高速インターネット接続サービス「NUROアクセス」を軸に、ネットワークやクラウド、セキュリティ製品などをワンストップで提供する法人向けブランドです。インターネット回線とセキュリティ製品をまとめて導入できる点が、「NURO Biz」の大きなメリットです。
エンドポイント保護を行えるセキュリティ製品の一例として、「UTM typeW」、「WatchGuard Endpoint Security」、「仮想UTMソリューション WatchGuard FireboxV」を展開しています。それぞれの特長は以下のとおりです。
| セキュリティサービス | 特長 |
|---|---|
| UTM typeW |
|
| WatchGuard Endpoint Security |
|
| 仮想UTMソリューション WatchGuard FireboxV |
|
表はスライドできます
例えば、「UTM typeW」なら、入口・内部・出口対策にわたり強固なセキュリティ対策を実現し、コスト削減・運用負荷の軽減を可能にします。クラウド型を利用して柔軟に運用したい場合には、クラウド型UTMである「仮想UTMソリューション WatchGuard FireboxV」を導入することも可能です。
また、以下の図のように、高速インターネット接続サービス「NUROアクセス」も合わせて契約することができます。
「インターネット通信速度を改善したい」「セキュリティ対策も同時に見直したい」といった課題を抱えている場合、以下のリンクをぜひチェックしてみてください。
- UTM typeW
-
多様なセキュリティ機能搭載のUTM機器の導入支援から設置、保守、監視、レポートまでワンストップで提供
【導入事例】コストを大幅に圧縮し帯域不足を解消|エイトレント株式会社様
エイトレント株式会社様は、オフィス・イベント関連用品などのレンタルサービスを通じて循環型社会の実現に貢献している企業です。同社では従来、他社のIP-VPNサービスを利用していましたが、Windows Updateや日次データバックアップの際に帯域不足が発生し、業務に支障をきたしていることが課題となっていました。
そこで採用されたのが「NUROアクセス 2G スタンダード」と「NUROセキュリティ UTM typeW」によるインターネットVPNです。これにより、各拠点から直接インターネットに接続できるようになり、帯域は従来の最大100Mbpsから最大1Gbpsへと増強。UTMの機能でWindows Update用のトラフィックを特定のポートに割り当てることで、通常業務への影響が解消されました。
導入後、通信速度が大幅に改善されただけでなく、コストも従来の約2/3に削減したため高く評価された事例です。
- 事例詳細:エイトレント株式会社様
- UTM typeW
-
多彩なセキュリティ機能を持つ WatchGuard Technologies社のUTM機器が ネットワーク保護の運用管理を一元化
- WatchGuard Endpoint Security
-
Endpoint Protection Platform (EPP)の次世代アンチウイルス、Endpoint Detection and Response (EDR)、DNSフィルタリングソリューションなど、エンドポイントへの高度なサイバー攻撃を阻止するために必要な技術を提供
- 仮想UTMソリューション WatchGuard FireboxV
-
社内ネットワークの出入口対策
まとめ
エンドポイントは業務遂行に欠かせない存在である一方、サイバー攻撃の標的となりやすい点が懸念されます。そこで、従業員の操作ミスや社外利用、管理の煩雑化などの脆弱性に対応するためのセキュリティ対策が不可欠です。
エンドポイントセキュリティ対策を効果的に実施するには、EPP・EDRによる脅威検知・対応、UTMによる多層防御などを組み合わせ、入口・内部・出口の3つの観点から多角的に取り組むことが重要です。
NURO Bizでは、高速インターネット接続サービス「NUROアクセス」と共に、エンドポイント保護を強化できるセキュリティ製品をワンストップで提供しています。インターネット回線とセキュリティ製品の窓口を一本化することでIT担当者の負担を軽減しながら、企業全体におけるセキュリティレベルの向上をサポートしています。
詳しくは、下記の関連製品をぜひご確認ください。
お役立ち資料をダウンロード
いまさら聞けない「インターネット」と「セキュリティ」の関係 中⼩企業にお勧めのセキュリティ対策UTM+EDR
意外と混同されやすい「インターネット」と「セキュリティ」の関係性を解説するとともに、インターネットを利用する企業が行うべきセキュリティ対策や、それらをより簡単に実現するための方法についてご紹介します。
