はじめに
今日、こちらの勉強会に参加してきました。
私はセキュリティの知識はあまりないんですが、初心者にもわかりやすくて勉強になったので、後から見返す用にまとめたいと思います。
エンドポイントセキュリティとは
なぜ今これが大事なのか?
従来は境界型防御で問題なかった(社内と社外などで分ける)が、ビジネスの変化により境界型防御では限界が出てきた
- ビジネスの変化
- 働き方の変化(例:テレワーク)
- クラウド利用の増加
境界型に代わる新しいセキュリティ:ゼロトラスト
ゼロトラスト:あらゆるアクセスを信用せず、あらゆる資材へのアクセスに対してその安全性を検証するセキュリティの考え方
※ ゼロトラストでは境界型防御と異なり、あらゆるアクセス経路で適切にセキュリティ対策を取る必要がある
エンドポイントにおける脅威と守るべきもの
何を守らないといけないのか?
- 資産
- 端末
- 通信量
- 端末資源(CPU)
- 機密情報
- 社内情報
- 社内資料
- 顧客情報
- 個人情報
- 認証情報(ID)
- 社内システムの認証情報
- SaaSの認証情報
どのような脅威に晒されるのか?
- 紛失・盗難(資産)
- 業務外利用(資産)
- Cryptjacking(資産)
- 端末上のCPUを外部から不正利用して仮想通貨のマイニングを行う
- シャドーIT(機密情報)
- 企業の管理が行き届いていないITサービス
- 従業員がシャドーITを利用する(例:クラウドストレージに社内文書を保管)ことで、機密情報が漏洩するリスク
- Phishing(認証情報)
- マルウェア(機密情報・認証情報)
- ランサムウェアなど
- OSやアプリの脆弱性(機密情報・認証情報)
→ これら7つの脅威を避ける仕組みの構築・ツールの活用が必要となる
エンドポイントを守るための手段
昨今のセキュリティ情勢
- ランサムウェアを使ったビジネスモデルが成立してしまっている(Ransomeware as a Service:RaaS)
- RaaSにより、サイバー攻撃への参入ハードルが低下している
- ランサムウェアによる被害が膨大になっている
- 他のサイバー攻撃と比べても被害が大きい
- 累計被害額平均:約1.8億円
- 業務停止期間平均:平均13日
- 他のサイバー攻撃と比べても被害が大きい
- 日本の大企業においても大きな被害が出ている
→ エンドポイントにも強固なセキュリティ対策を行う必要がある
エンドポイント管理の難しさとそれに対するツール
- デバイスは多種多様。デバイスが異なれば監視のツールも異なる。一括管理が難しい
- OSを横断的にカバーするエンドポイント管理ツール(EPP(Endpoint Protection Platform)だろうか?聞き取れなかった)
- エンドポイントが増えるとセキュリティ部門の対応が間に合わない可能性
- EDR(Endpoint Detection and Response)ツール
ツールを使った対策(一例)
- フィッシング
- http通信の禁止
- 通信先URLの限定
- アプリケーション
- セキュアなアプリのみを使用許可する
- アプリストアで限定
- 禁止・許可リスト
- URLフィルタリング
まとめ
- 時代の変化によりゼロトラストが求められている
- エンドポイントのセキュリティ確保が重要に
- エンドポイントにおいて守るべきは、資産、機密情報、認証情報
- エンドポイント管理ツールとEDRツールを用いて、エンドポイントを脅威から守ることが重要
感想
- なぜ今エンドポイントを守ることが重要になっているのか、その経緯がわかりやすかった。そもそも、境界型防御という言葉も聞いたことがなかったレベルなので境界型防御→ゼロトラストへの経緯を知れたのが良かった
- RaaSというものが衝撃的だった。ランサムウェアを使ったビジネスモデルというのがもう...
- アプリ開発者的にはエンドポイントといえばAPIエンドポイントで、セキュリティについてもアプリケーション中心に考えてしまっていた。でも確かに、たとえ社用のデバイスからの通信だったとしても、そのデバイスがやられてしまっていたら、アプリ側でどれだけ対策していても被害は避けられないなあ。新しい視点を得られて勉強になった。
