現在のビジネス環境において、エンドポイントを保護することはますます重要になっています。エンドポイント・デバイスにとっての脅威はさらに多様化・高度化が進んでおり、ウイルスなどのマルウェアにさえ注意していればよいという時代はもはや完全に過去のものとなりました。今日、エンドポイント・デバイスを保護するためには、USB デバイスやパッチ問題、巧妙に自身を隠ぺいするマルウェア(rootkit など)、使用が許可されていないプログラム、リモート・エンドポイントに関する脅威(なりすましなど)といった新しい諸問題に対処しなければなりません。問題をさらに厄介にしているのは、エンドポイント・デバイスの持ち運びがますます容易になっていることです。経営幹部から管理職層、そして一般社員に至るまで、今日では、だれもが移動の際にはエンドポイント・デバイスを持ち歩くようになっています。このため、モバイル・デバイスを確実に管理し、モバイル・データを保護するセキュリティ戦略が必要になるのです。業界アナリストらの試算によると、ノート PC の盗難被害件数は1日あたり1,500台から3,000台にも上っています。また、アメリカのプライバシーおよび情報管理調査会社、Ponemon Institute が2006年に行ったデータ侵害についての研究によれば、機密データが保存されたノート PC の盗難被害を公表した企業の数は、2005年から2006年にかけて81パーセントも増加しています。しかも、これらの数字には空港やタクシーなどで紛失したノート PC の数は含まれていません。
エンドポイントに対する脅威は増加を続ける一方であり、これらに対処するために必要なエンドポイント・セキュリティ・アプリケーションや管理コンソールの数も増加の一途を辿っています。企業 PC では、アンチウイルスやパーソナル・ファイアウォール、アンチスパイウェア、ファイル/ディスク暗号化ソフトウェアとして、それぞれ別個にエージェントを導入し、各エージェントをそれぞれ専用のコンソールで集中管理しているというケースが少なくありません。このマルチ・エージェントのアプローチでは、各アプリケーションのセキュリティ・ポリシーのアップデートや監視、テスト、管理、そしてソフトウェアやシグネチャのアップデートに多大な労力と時間が必要となります。加えて、CPU やメモリなどのリソースが大量に消費され、システムのパフォーマンスが低下したり不安定になったりした結果、社員の生産性が低下して、問い合わせがヘルプデスクに殺到するといった事態を招くことも考えられます。
このような問題を解決するためには、集中化・統合化のアプローチでエンドポイントの重要なセキュリティ・ニーズに対処できる技術を導入する必要があります。これにより、エンドポイントのセキュリティを一括コントロールすることが可能になります。以降では、企業のセキュリティを強化するために必須となる6つのエンドポイント・セキュリティ機能について解説します。
マルウェア対策
Kaspersky Labs によると、2007年1月から7月にかけて報告された新種マルウェアの数は約2万件にも上っています。極言すれば、容易には発見できないエンドポイント・セキュリティ問題が新たに2万件発生したということです。これらの問題は、ウイルスや
rootkit、プロキシといったものに限りません。分散サービス妨害攻撃(DDoS)攻撃もこの中に含まれます。これらの破壊的な活動を抑制する最も優れた方法は、効果的にプログラム制御を行いながら、ヒューリスティック分析技術と振る舞い分析技術に基づくアンチウイルス/アンチスパイウェア機能を使用して攻撃をブロックすることです。プログラム制御は、マルウェアを抑止するうえで重要な役割を果たします。なぜなら、エンドポイント
PC 上で動作する既知の悪意あるプログラムをブロックできるだけでなく、エンドポイント・システムを攻撃する際の標的とされることが増えているピアツーピア(P2P)ファイル共有アプリケーションなどのプログラムの制御にも役立つからです。ただし、プログラム制御を行うことは、実はそれほど簡単ではありません。企業
PC にインストールされる可能性のあるプログラムは、インターネット上に何十万と存在しており、許可するプログラム/ブロックするプログラムを決定するセキュリティ・ポリシーを定義して実施するのは、膨大な時間を必要とする作業であるからです。したがって、プログラム制御機能では、IT
スタッフがプログラムの調査に時間を費やさずに済むように、ポリシーの決定をほぼ自動的に行えることが必要になります。理想的なのは、既知の信頼できるプログラムと悪意のあるプログラムが登録されたデータベースに基づいてポリシーが決定され、最善と考えられるポリシー(プログラムを許可するべきかブロックするべきか)を即座に適用可能であることです。
データの保護
社員が日常的にエンドポイント・デバイスを持ち歩くようになり、デバイスの紛失がもはや不可避となったことで、エンドポイントのデータを管理および保護するフルディスク暗号化ソリューションの必要性が叫ばれるようになっています。この対策は、企業秘密を保護するだけでなく、デバイス紛失時の機密情報漏洩を確実に防止するという意味でも有効です。今日では、個人情報保護を目的とする厳格な法律によって、個人情報漏洩が発生した場合にはその事実を公表するよう義務付けられており、そういった面でもこのような対策を講じることはますます重要になっていると言えます。ハードディスクが完全に暗号化されていれば、ノート
PC の紛失や盗難が発生したとしてもその事実を公表する必要はなく、またメディア報道などによる企業イメージの低下も避けられます。ただし、エンドポイント・デバイスのハードディスクを暗号化すればそれで十分というわけではありません。
USB フラッシュ・ドライブや iPod、Bluetooth デバイスといったリムーバブル・メディアがもたらすリスクについても考慮する必要があります。まず注意する必要があるのは、これらのリムーバブル・デバイスはウイルスを始めとするマルウェアの媒介になる可能性があるということです。また、データの保護が適切でない場合には、これらのデバイスを通じて機密データが社外に流出するということも十分に考えられます。したがって、エンドポイント・セキュリティを万全にするためには、この2つの問題についてもポリシーを適用することが重要になります。具体的には、デバイスへのアクセスを制御する、使用を許可されたデバイスに対してウイルス・スキャンを実施する、デバイスのデータを暗号化するといった対策を実施します。
エンドポイント・ポリシーの実施
マルウェア対策とデータの保護が万全でも、ウイルス・シグネチャやサービス・パッチが最新でなければ、エンドポイントに対するセキュリティ侵害を防ぐことはできません。そこで必要となるのが、ネットワーク・アクセス制御(NAC)の仕組みです。NACは、セキュリティ対策が十分なエンドポイントだけがネットワークにアクセスできるようにするための技術で、事前に定められたセキュリティ・ポリシー(ウイルス・シグネチャやパッチが最新であるかなど)をエンドポイント・デバイスが遵守しているかどうかをチェックすることによって実現されます。セキュリティが十分である場合、そのエンドポイントはネットワークへのアクセスを許可されます。セキュリティが不十分なエンドポイントは隔離され、必要なアップデートをインストールさせるなどの修復措置が行われます。
安全なリモート・アクセス
コンピューティング・デバイスを容易に持ち歩けるようになったことに伴い、企業ネットワークへのリモート・ログインを管理することが重要になっています。そのためエンドポイント・セキュリティ・ソリューションでは、通常のログインに使用するのと同じインタフェースで、安全かつ容易にリモート・アクセスを行えることが重要となります。理想的なのは、この機能がリモート・アクセス・エージェントとして提供され、一度ログインすればそれ以降の通信はすべて安全に行えるようになっていることです。また、ログイン情報をこのエージェントに保存することができると、ユーザは、接続情報の異なるサイトにも簡単にアクセスすることができます。必須のエンドポイント・セキュリティ機能と共に、リモート・アクセス・エージェントを搭載したソリューションを選択するべき理由としては、この他にも次のようなものが挙げられます。
- CPU やメモリなどのリソース使用率が最小限に抑えられるため、エンドポイント・システムの動作を妨げない。
- 複数のエージェントを管理することに伴う作業負担増がなく、ソフトウェア・アップデート時の互換性テストを行う必要がない。
- リモート・アクセス機能と NAC 機能の相互運用性が保証され、ゲートウェイでのリモート・ユーザ認証時のポリシー・チェックを効率化できる。
セキュリティ管理の効率化
エンドポイントの設定、ポリシーの管理、パフォーマンスの監視、ネットワーク全体から収集したデータの分析といった作業を管理者が単一のコンソールから行えるように、バックエンドでは、エンドポイント・セキュリティの管理を集中化することが重要となります。これは、管理者の負担を軽減するだけでなく、マルチエージェント・ソリューションの管理およびアップデートに要するメンテナンス・コストを削減することにつながります。管理を集中化すると、レポート機能の統一化、標準化、および自動化も可能になるため、セキュリティ監査も効率的に行えるようになります。また場合によっては、事前定義されたポリシー・テンプレートを、そのまま基本セキュリティ・ポリシーとして利用できる場合もあります。
エンドユーザへの影響を最小化
どれだけ堅牢で効率性に優れたエンドポイント・セキュリティ・ソリューションであっても、他の重要なエンドユーザ・アプリケーションに割り当てられるべきネットワーク帯域や
CPU パワーを浪費するのでは意味がありません。この点を考慮すると、メモリなどのリソース使用率が小さい統合型のエージェントを選ぶことが重要となります。同じく大切なのは、エンドユーザからは透過的に動作することです。その存在をユーザに意識させることなく動作し、システムトレイにアイコンを表示させる必要もないというレベルの透過性が実現されていれば、理想的と言えます。管理者が最重視すべきはセキュリティですが、エンドユーザにとって重要なのは機能性と使い勝手であるからです。
チェック・ポイントのアプローチ
エンドポイント・セキュリティ・ソリューションが以上の重要な6つの要件を満たすことに加えて、管理者がネットワークの最新のセキュリティ状況を把握しておくことも重要です。そのための1つの方法は、最新の脅威を監視する担当者を配置することです。より効率的な手段として、各種の脅威や潜在的な問題についての情報を自動的に提示するサービスを利用するという方法もあります。チェック・ポイントでは、この両方を提供する セキュリティ・リサーチ&レスポンス・チーム を擁することにより、お客様企業がより少ないリソースと時間でエンドポイント・セキュリティを維持できるようにしています。専任のプロフェッショナルによるこれらの取り組みは、エンドユーザの関与を最小限に抑える最適なアプリケーション・ポリシーを提供することにもつながっています。
2008年2月、チェック・ポイントは、単一エージェントによるエンドポイント・セキュリティである
Check Point Endpoint Security を発表しました。このソリューションは、先進の フルディスク暗号化技術 と メディア暗号化技術 に基づくデータ・セキュリティ機能と、ウイルス、スパイウェア、rootkit といった各種マルウェアへの対策機能を搭載しています。さらに、完全統合型のリモート・アクセス・エージェント、直感的な
GUI により効率的に操作可能な管理コンソール、ソリューションの存在をユーザから完全に隠すための機能を備えています。端的に表現するなら、Check
Point Endpoint Security は、エンドポイント・セキュリティ管理の簡素化を実現するソリューションなのです。