脅威環境は明らかに複雑化しています。かつては「弱点がない」と考えられていた組織に対する標的型攻撃の新しい事例が毎月のように伝えられています。そこで思い浮かぶのが「何が悪かったのだろう」という疑問です。今日発生している標的型攻撃を受け、確実に包括的な徹底防御セキュリティ戦略を実施するためにインフラストラクチャを見直す重要性がこれまで以上に高まっています。
エンドポイントはこれを見直すには絶好の開始点です。エンドポイントセキュリティは、インフラストラクチャ保護のために極めて重要であると同時に、企業の防御の第一線でもあります。具体的には、エンドポイントセキュリティではデスクトップ、ラップトップ、タブレット、モバイルデバイス、そして(物理および仮想両方の)サーバーを保護する必要があります。高度な標的型攻撃(ATA)からの圧力の高まりによってエンドポイントセキュリティは転換期を迎え、一層高度なエンドポイントセキュリティテクノロジが要求されるようになりました。ウイルス対策のみではもはや十分ではないのです。
新しいエンドポイントセキュリティの購入か、ソリューションのリプレースを考えているかを問わず、ベンダーにたずねるべきいくつかの重要な質問を以下に示します。
1. エンドポイントセキュリティソリューションにはどのような保護コンポーネントが含まれていますか?
エンドポイントセキュリティ製品には、「従来の」ウイルス対策コンポーネントの最も高度なマルウェア検知機能だけではなく、デスクトップファイアウォール、電子メールサーバーのウイルス対策、Webフィルタリング、ホストIPS、デバイス制御、モバイルウイルス対策とデバイス管理、アプリケーション制御、暗号化といった包括的なエンドポイントセキュリティコンポーネントも含まれている必要があります。
2. すべてのエンドポイントセキュリティコンポーネントを管理できる単一のコンソールがありますか?
エンドポイントセキュリティインフラストラクチャの一元管理は、運用コストの削減、日常的なセキュリティプロセスの簡略化、そして応答時間を完全に最適化する一元的な可視性の確保のために非常に重要です。また、社内かクラウド、あるいはその両方の管理プラットフォームを利用するオプションがあるかどうかもたずねてください。単一の管理コンソールは非常に大きな価値を提供します。たとえば、MSI Internationalが実施した市場調査(英文)で、エンドポイントセキュリティの管理のためにマカフィーの単一の管理コンソールであるePOを使用している組織と使用していない組織を比較しました。McAfee ePOを使用している組織は、次のような結果になりました。
1. セキュリティポリシーの構築にかかる時間が41%短縮
2. 分析用のセキュリティレポートの作成時間が45%短縮
3. セキュリティインシデントの応答時間が31%短縮
3. 使用しているすべてのデバイスを保護できますか?
環境内でWindows、Macs、Linux、またはUnixを使用していても、これらを混在させていても、ベンダーはすべてのオペレーティングシステムをサポートする必要があります。このソリューションは、iOS、Android、タブレットを含むモバイルデバイスもサポートする必要があります。また、データセンターに対しては、物理および仮想サーバーの完全な保護を提供しなければなりません。
4. 標的型攻撃とゼロデイの脅威を阻止するためにどのような接続型セキュリティアプローチを取っていますか?
機能評価を行う場合に重要なのは、ベンダーのソリューションが検知機能の域を超えて、高度な標的型攻撃(ATA)またはAdvanced Persistent Threat(APT)とも呼ばれる標的型攻撃に対する高度な保護を提供しているかを確認することです。具体的には、このソリューションは、関連するセキュリティデータをエンドポイント、ゲートウェイおよびその他のセキュリティ製品で共有する適応型脅威防御を提供しなければなりません。つまり、物理的な境界を問わずに、各セキュリティコンポーネントが一体となって機能できるようにし、こうした攻撃に対する適応型脅威防御システムを実現する必要があります。マカフィーのアプローチの詳しい情報については、McAfee Threat Intelligence Exchangeデータシートをダウンロードしてご覧ください。
5. どのようなデータ保護機能がありますか?
攻撃者のターゲットはデータ自体(顧客データ、クレジットカードデータ、知的財産など)なので、優れたエンドポイントセキュリティソリューションは、当然ながらデータ暗号化、ファイルとフォルダの暗号化、ネイティブ暗号化管理、デバイス制御、データ損失防止(DLP)などの包括的なデータ保護機能も提供する必要があります。
さらに、ハードウェア統合ポイントによって強化されるパフォーマンスおよび保護機能についても質問してください。たとえば、Intel Advanced Encryption Standard New Instructions(Intel AES-NI)は、インテルCoreプロセッサーと最新世代のインテルAtomプロセッサーに搭載された高速化命令セットで、暗号化/復号化のパフォーマンスを高めプロセッサーの負荷を低減します。Intel AES-NIは、マカフィーのエンドポイント暗号化テクノロジの安全なバックボーンとして機能します。
また、データ保護機能を同一のコンソールで管理可能かどうかも質問してください。
6. エンドポイントセキュリティソリューションにインシデント対応機能はありますか?
攻撃はますます高度化しているため、エンドポイントの検出およびレスポンス(EDR)機能のニーズが高まっています。Gartnerによると、「一度設定すると管理不要」といったエンドポイントソリューションなどの既存のセキュリティツールでは、もはや十分ではありません。組織には、侵害が発生したときの作業を効率化させる、検出、アラート、迅速な対応などの機能を備えるツールが必要です。
ベンダーには、提供するエンドポイント保護ソリューションがEDR機能を備えているか、エンドポイントの継続的な可視性や強力な洞察などの機能があるかを質問してください。こうした機能があれば、侵害を検知し、より早くビジネスにとって最も適切な方法で問題を修正することができます。
革新的なテクノロジが急増している今、組織はクラウド、BYOD、ビッグデータ、ソーシャルメディアなどの新しいテクノロジを採用および導入するように常に求められています。この進化に対応するために、総合的なセキュリティ戦略にとってのエンドポイントセキュリティソリューションの重要性はかつてないほど高まっています。
上記の項目は、ベンダーが脅威環境に対応し、ユーザーの要件を満たせることを確認するために議論す べき事項の一例にすぎません。組織は、エンドポイントでさえも階層型戦略を実践する必要があります。ですから、ベンダーがこれらの質問に対して技術的に正しい解答を提供できるか、そしてベンダーの技術ロードマップが革新的であるかどうかを確認してください。
このトピックについてのさらに詳しい情報については、Gartner’s Buyer’s Guide to Endpoint Protection Platforms(英語版:Gartnerのエンドポイント保護プラットフォーム購入ガイド)をダウンロードしてご覧ください。
※本ページの内容は McAfee Blog の抄訳です。
原文: Security Questions Every Leader Should Ask
著者: Intel Security Ed Metcalf
【参考情報】
本ブログで解説したエンドポイント対策以外にも、マカフィーが提唱するSecurity Connected戦略のもと、情報漏えい対策から暗号化ソリューション、次世代ファイアウォール、セキュリティ情報/イベント管理ソリューションまで、さまざまなセキュリティ製品を多層的に組み合わせることにより、組織はセキュリティ対策をさらに強化できます。
「セキュリティ部門のエグゼクティブが焦点を当てるべき領域TOP 10 」もぜひご参照ください。
