事例で学ぶセキュリティインシデント（第15回）安心な端末利用を支援する「エンドポイントセキュリティ」

　パソコンやサーバーなどエンドポイントのウイルス/マルウエア対策として注目されているのが、「EDR(エンドポイント検知・対応)」だ。さまざまなタイプのEDR製品・サービスが提供され、企業導入が進んでいる。例えば、ウイルス対策の場合、パターンファイルで既知のウイルスに対応する他、AIを活用して亜種や未知のウイルスの検知・防御を試みるものもある。

　また、フィッシング詐欺やウイルスなどの脅威が仕込まれたWebサイトへのアクセスをブロックするWebレピュテーション機能や、業務外のWebサイトへのアクセスを制限するURLフィルタリング機能、ランサムウエア対策などの機能を備えるタイプもある。

　EDRはエンドポイントのセキュリティ対策として効果的なものの、端末への感染を検知した後、脅威の判定やインシデント対応などでIT部門の負担が大きくなる懸念もある。O社のように専任のIT部門がなく、他部門と兼務する企業にとってセキュリティ製品の管理・運用は至難の業と言える。

　そこで、EDR製品・サービスを提供する事業者の多くはサポート体制を充実させている。EDRではエージェントと呼ばれるソフトウエアを各端末にインストールし、事業者が端末の動作を遠隔から監視するのが一般的だ。例えば、セキュリティの専門家がエンドポイントセキュリティサービスに対応する端末に対し、感染の兆候がないか24時間・365日監視。脅威を検知した場合、アラートで通知する他、遠隔から感染端末を隔離して他の端末への被害拡大を防止したり、ウイルス駆除の支援を行ったりする。さらに、インシデント発生の原因の調査や対処、リポート報告など復旧まで支援するサービスもある。

EDRとクラウドストレージの活用で営業活動を支援

　O社のIT担当者は、支店の営業担当者の聞き取り調査を行った。外出時にカフェでインターネット検索を行っていたところ、ウイルス対策ソフトが感染の警告をパソコン画面に表示したため、あわてて電源を切ったという。そして、改めてパソコンを立ち上げようとしたところ、動作に異常があり、本社のIT担当者に連絡した。

　この間、社内や顧客・取引先にはメールを送信しておらず、感染拡大の恐れはないと判断した。IT担当者は同社のITをサポートする事業者の協力を得ながら、感染パソコンのウイルスを駆除するとともに、社内の他のパソコンやサーバーが感染していないことを確認。そして、本社・支社の役職者と従業員、経営層にウイルス感染のインシデントを報告した。

　O社では、社外でインターネットにアクセスする際、インターネットVPNを使って社内ネットワーク(ゲートウェイ)経由で接続する仕組みにしていたが、トラフィックが集中するとアクセスに時間がかかるといった問題もあり、端末から直接、インターネットにアセスすることを黙認してきた経緯がある。

　そこで、ゲートウェイでのセキュリティ対策に加え、営業担当者向けにEDRによるエンドポイントセキュリティの導入を検討することとした。EDRによってウイルス/マルウエア感染リスクが完全になくなるわけではないが、AIを活用した次世代ウイルス対策や、Webレピュテーション、URLフィルタリングによるアセス制限などの機能に加え、セキュリティ専門家による端末の常時監視と異常検知により、万一の感染時にも被害を最小限にとどめられると判断した。

　また、O社では本社のファイルサーバーにマンションや一戸建て住宅などの物件情報を保管し、営業担当者はオフィスで必要な情報を端末にダウンロードしてから外出し、顧客に提案するなどしていた。EDRの導入に併せて、クラウドストレージサービスの活用を検討。営業担当者はインターネットを使って社外からも安心してクラウドストレージに保管した物件情報を検索、顧客に提示できるようになることから、業務の効率化と顧客サービスの向上が可能になると期待している。