エンドポイント管理とは。セキュリティの重要性や具体的な対策法
テレワーク・ハイブリッドワークの普及により、外部から社内のネットワークやクラウドサービスにアクセスする機会が増えています。
▼テレワークの導入状況
画像引用元:総務省『令和6年版情報通信白書』
外部から社内ネットワークにアクセスする際に従業員の自宅や外出先の多様なデバイスが使用されるようになったことで、エンドポイントを標的としたサイバー攻撃が見られています。
安全なIT環境を構築するには、“ゼロトラスト(=すべてのアクセスを信用しない)”の概念を基に社内・社外のネットワークの境界に関係なくエンドポイントに対するセキュリティを強化することが重要です。
この記事では、情報システム部門(以下、情シス)や管理部門の担当者に向けて、エンドポイント管理の重要性、具体的なセキュリティ対策について解説します。
なお、企業のセキュリティリスクについてはこちらの資料をご覧ください。
ハイブリッドワークについてはこちらの記事で詳しく解説しています。
出典:総務省『令和6年版情報通信白書』
目次[非表示]
- 1.エンドポイント管理とは
- 2.エンドポイント管理の重要性
- 3.エンドポイント管理におけるセキュリティ対策
- 3.1.➀IT資産管理
- 3.2.②マルウェアの検知
- 3.3.③紛失・盗難時の情報漏えい対策
- 3.4.④クライアント証明書の導入
- 3.5.⑤ID・パスワードの一元管理
- 3.6.⑥モバイルデバイス・アプリの管理
- 4.まとめ
エンドポイント管理とは
エンドポイント管理とは、ネットワークに接続された末端のデバイスを包括的に管理してセキュリティリスクから保護することです。
管理対象となるエンドポイントには、以下が挙げられます。
▼管理対象となるエンドポイント
- デスクトップPC・ノートPC
- スマートフォン、タブレット
- サーバ
- IoTデバイス など
企業のセキュリティポリシーに沿ってIT資産を効率的に運用するとともに、サイバー攻撃や内部不正から企業の情報資産を守る目的があります。
エンドポイント管理の重要性
エンドポイント管理は、さまざまなセキュリティリスクからデバイスや保存されたデータを保護するために重要です。
近年、リモートワークやクラウドサービスの普及によって業務に使用するデバイスが多様化しています。オフィスだけでなく社外にまでエンドポイントが広がったことで、ネットワークの入り口を防御する境界型の対策だけでは、セキュリティリスクに対処しきれなくなっています。
▼エンドポイントにおけるセキュリティリスク
- デバイスのマルウェア感染
- マルウェア感染のデバイスを経由した社内ネットワークへの感染拡大
- クラウドサービスへの不正アクセス
- デバイスの紛失・盗難による情報漏えい
- 従業員によるデータの持ち出しや改ざんなどの内部不正 など
サイバー攻撃や情報漏えいを防ぐには、ネットワークの内部・外部にかかわらずすべてのエンドポイントを管理してセキュリティを強化することが必要です。
なお、企業のセキュリティリスクについてはこちらの資料をご覧ください。
エンドポイント管理におけるセキュリティ対策
エンドポイントのセキュリティ対策では、デバイスやアプリケーション(以下、アプリ)などのIT資産を管理してアクセスの制御やデータの保護などを行うことが求められます。
➀IT資産管理
組織内にあるエンドポイントのIT資産情報を一元管理することが必要です。
リモートワーク・ハイブリッドワークの環境では、管理するエンドポイントが多岐にわたり使用状況を把握することが難しくなります。また、従業員の私物端末を無許可で使用する“シャドーIT”が行われる可能性も考えられます。
社内にあるデバイスだけでなく、業務に使用するすべてのPCやスマートフォンを一元管理することで、セキュリティ管理体制を強化できます。
▼エンドポイントのIT資産管理で行うこと
- デバイスやアプリの把握・管理
- 用途・環境に応じたセキュリティポリシーの適用
- アプリのインストール管理
- OSにおけるセキュリティパッチの管理・配信 など
なお、IT資産管理の対象はエンドポイントだけではありません。管理が必要なIT資産や効率化する方法は、こちらの記事をご確認ください。
②マルウェアの検知
マルウェアを検知するソフトウェアをPCやスマートフォンに導入する方法です。
クラウドサービスの利用時には、ファイルのダウンロードやメールの添付ファイルなどを侵入経路としてマルウェアに感染するリスクがあります。
マルウェアを検知して防御や隔離が行えるソフトウェアを導入して、感染被害の拡大を防ぐことがポイントです。
▼マルウェアの検知に役立つソフトウェア
ソフトウェア |
概要 |
EPP(Endpoint Protection Platform) |
マルウェアを検知してデバイスへの感染を防ぐ |
EDR(Endpoint Detection and Response) |
マルウェアの監視・検知と、感染後の隔離や原因分析を行う |
NGAV(Next Generation Anti-Virus) |
ソフトウェアの振る舞いから未知のマルウェアを検知してデバイスへの感染を防ぐ |
③紛失・盗難時の情報漏えい対策
社外に持ち出して使用するノートPCやスマートフォンには、紛失・盗難時の情報漏えいを防ぐための対策が欠かせません。デバイスに保存されたデータが第三者に窃取されないように保護することがポイントです。
▼紛失・盗難に備えたセキュリティ対策
- HDDを暗号化して保存されたデータが第三者に読み取られないようにする
- 管理者が遠隔操作でデバイス内のデータを削除(リモートワイプ)できるようにする など
④クライアント証明書の導入
クライアント証明書は、社内システムやクラウドサービスなどにアクセスする際に、ユーザー本人のデバイスであることを認証する技術です。
自宅や外出先で業務を行う際に、クライアント証明書がインストールされているデバイスからのアクセスのみを許可する仕組みを構築できます。
エンドポイントの認証を強化することで、ID・パスワードの流出・悪用による不正アクセスやシャドーITを防げます。
なお、シャドーITのリスクと対策についてはこちらの記事をご確認ください。
⑤ID・パスワードの一元管理
社内システムやクラウドサービスにアクセスする際に、なりすましによる不正ログインを防ぐには、ID・パスワードの認証情報を一元管理することが必要です。
ID・パスワードの管理を各従業員に任せている場合には、脆弱性のある文字列が設定されたり、管理不備によって認証情報が流出したりするリスクがあります。
多岐にわたる認証情報を安全かつ効率的に管理するには、オンプレミス・クラウド環境にあるID・パスワードを一元管理できるIDaaS(IDentity as a Service)の活用がポイントです。
▼IDaaSで行えること
- アカウント情報の一元管理
- IDごとのアクセス制御
- SSO(シングルサインオン)
- 多要素認証
- ログ管理 など
IDaaSの詳細はこちらの記事で詳しく解説しています。
⑥モバイルデバイス・アプリの管理
紛失・盗難による情報漏えいや、未許可のアプリを使用することによるマルウェア感染などを防ぐには、モバイルデバイス・アプリを管理してセキュリティポリシーに沿った運用を行うことが必要です。
▼モバイルデバイス・アプリの管理に役立つツール
ツール |
概要 |
主な機能 |
MDM(Mobile Device Management) |
モバイルデバイスを一元管理する |
デバイス情報の自動取得・一括管理
ポリシーやアプリの一括配信
ネットワークの接続制限
デバイスの遠隔ロック
デバイス内データの遠隔消去 など
|
MAM(Mobile Application Management) |
モバイルデバイス内のアプリを一元管理する |
アプリの一括インストール
アプリの使用・操作制限
アプリ内データの管理
アプリやデータの遠隔消去 など
|
また、モバイルデバイスだけでなくさまざまなエンドポイントを統合管理できるツール“UEM(Unified Endpoint Management)”を利用することも有効です。
まとめ
この記事では、エンドポイント管理について以下の内容を解説しました。
- エンドポイント管理の概要
- エンドポイント管理の重要性
- エンドポイント管理におけるセキュリティ対策
業務の場がオフィスの外へと広がるなか、エンドポイントのセキュリティリスクは高まっています。情シスや管理部門には、デバイスと情報資産をサイバー攻撃から守るためのセキュリティ対策を講じることが求められます。
『FGLテクノソリューションズ』では、約20年にわたって蓄積した経験とノウハウを基に、ITインフラの構築や運用管理のサポートを行っています。エンドポイントを含むIT資産管理やID管理などもお任せください。
