【大阪 / 横浜 / 徳島】インフラ / サーバーサイドエンジニア募集中!

【大阪 / 横浜 / 徳島】インフラ / サーバーサイドエンジニア募集中!

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【導入実績 500社以上】AWS 構築・運用保守・監視サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【CentOS 後継】AlmaLinux OS サーバー構築・移行サービス

【WordPress 専用】クラウドサーバー『ウェブスピード』

【WordPress 専用】クラウドサーバー『ウェブスピード』

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【格安】Webサイト セキュリティ自動診断「クイックスキャナー」

【予約システム開発】EDISONE カスタマイズ開発サービス

【予約システム開発】EDISONE カスタマイズ開発サービス

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【200ヶ国以上に対応】グローバル eSIM「ビヨンドSIM」

【200ヶ国以上に対応】グローバル eSIM「ビヨンドSIM」

【中国への旅行・出張・駐在なら】中国SIMサービス「チョコSIM」

【中国への旅行・出張・駐在なら】中国SIMサービス「チョコSIM」

【グローバル専用サービス】北米・中国でも、ビヨンドのMSP

【グローバル専用サービス】北米・中国でも、ビヨンドのMSP

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

やさしいエンドポイントセキュリティの話

こんにちは
ALTER TABLE 人生 DROP COLUMN 責任;
システムソリューション部のかわです。

今年も残すところもう少しですね。
少し前ですが、IPAにて情報セキュリティ白書2024が発行されました。
https://www.ipa.go.jp/publish/wp-security/2024.html

生成AIの台頭もあってか、特に今年は複雑化というか、ランサムウェアや巧妙な日本語のフィッシングが増加したようです。
企業としても個人としても、一層セキュリティにおけるリテラシー向上が求められる時代になってきた感があります。

本記事では、セキュリティの基本と言えるエンドポイントセキュリティ製品について解説します。

エンドポイントセキュリティとは

エンドポイントセキュリティとは、言葉どおりエンドポイント、すなわちPCやスマートフォン等のデバイスにインストールし、
マルウェア等の危険からデバイスを保護するソフト
です。
※エンドポイントプロテクションとも表現します。他にもアンチウイルスソフトなど幅広い呼ばれ方をしますが、大抵同じ製品を指します。

基本的な機能について

時代とともに機能面はどんどんアップグレードされていますが、基本的な考え方や挙動は同じです。
一般的にはデバイス内をスキャンし、危険性があると見做されたファイルを検知、デバイスを守るために同ファイルの隔離や駆除を行います。
ソフトウェアベンダは海外製品を含めると星の数ほど存在しますが、基本的には上記の挙動を取ります。
昨今はAIやサンドボックス機能を搭載していたり、全く別の付加価値を持たせていたりと、差別化を図ろうとしているのが見て取れるようになってきました。

スキャン機能

PC内に存在するファイルを横断してスキャンし、危険性がないかを調査します。
大抵はユーザ設定によってファイルを隔離、駆除等が選択できます。
スキャンにはPC等の負荷を考慮し、色々な挙動があります。

【スケジュールスキャン】
特定周期や曜日、時間等の決まった日時にスキャンをかける方法です。
ユーザがデバイスを操作していないタイミングで実施できるので、日常業務に支障が出にくいです。

【リアルタイムスキャン】
文字通り、ファイル操作を追いかけるようにリアルタイムにデバイス内のファイルを調査します。
よくある挙動として、ファイルごとのユニークなハッシュ値をリスト化することによって、変更が加えられた場合の差分を確認する方法があります。
定時スキャンに比べ即時性がありますが、常時プロセスが動作するため、デバイス負荷に繋がりやすいです。

【フルスキャン/クイックスキャン】
デバイス全体か、一部ファイルの出入りの多い/不審なファイルが入り込みやすいディレクトリのみを検査する方法です。
フルスキャンは時間がかかりますが確実です。使い方にもよりますが、普段はクイックスキャン、月一などでフルスキャンを行うような運用が一般的かと思います。
他にもユーザ設定で特定ディレクトリのみを検査する方法もあります。

検知の仕組みについて

スキャンした際の検知の仕組みはソフトによって様々ですが、最も一般的なのがスタティック(静的)な検査です。
世間で広く認知されているマルウェアの大抵は、各ベンダなどで検体が収集されています。
ファイルはハッシュ値というユニークな文字列を持っており、基本的にはその値を照合して該当のファイルと判定されます。
参照:https://www.trendmicro.com/vinfo/jp/security/definition/hash-values

この機能はよく「シグネチャファイル」「パターンファイル」「定義ファイル」と呼ばれ、しばしば指名手配リストと例えられます。
リストは日々更新されており、ベンダによっては数時間ごとに更新というケースもあるため、新しいマルウェアへの対応も迅速に行われます。
ただ、昨今はこのリストに合致しないようなファイルが出回るケースが増えており、パターンファイルだけでは対処しきれず被害に合う事例も増加しています。

サンドボックス機能について

そこで考案されたのがサンドボックス機能です。
日本語では砂場を指しますが、これは仮想メモリ上でマルウェアの可能性のあるファイルを実行し、不審な挙動を取った場合に駆除等を行う機能です。
挙動を見ることから、振る舞い検知とも呼ばれます。
(公園の砂場あそびのようなイメージから名付けられたようですね)
最近はビッグデータやAI機能を搭載し、サンドボックスの精度を上げる技術も他との差別化を図った製品を見ることがあります。

誤検知について

この手の製品でよくあるのが誤検知(False Positive)です。
例えばオフィス系のドキュメントファイルでマクロを組んでいたりすると、怪しい動きと誤って認識され隔離/駆除されてしまうことがあります。
この動きに対してはファイルを例外登録したり、ファイル保存先ディレクトリそのものを例外として許可する方法が取れます。

EDR製品について

また、少し毛色は違うものの近しい製品として、EDR(Endpoint Detection and Response)というものがあります。
EDR製品は、ファイルダウンロード時等に検知/駆除を行うEPP(Endpoint Protection Platform ≒エンドポイントセキュリティ)と比べ、事後対策の製品です。
例えばマルウェア感染後、PCの状態をロールバック(感染前の状態に切り戻す)したりといった、デバイスを復元させる機能がメインとなります。

エンドポイント製品の重要性

IPA白書にもあるように、近年はランサムウェアの台頭が顕著です。また、一時期よりは下火にはなっているものの、未だにEmotetの動きも引き続き活発です。
参考:https://www.ipa.go.jp/security/emotet/index.html
考え方としては色々なレイヤで防ぐ多層防御が基本ですが、まずはエンドポイントセキュリティ製品を導入するのが第一歩だと思います。

この記事がお役に立てば【 いいね 】のご協力をお願いいたします!
10
読み込み中...
10 票, 平均: 1.00 / 110
102
X facebook はてなブックマーク pocket
【2025.6.30 Amazon Linux 2 サポート終了】Amazon Linux サーバー移行ソリューション

【2025.6.30 Amazon Linux 2 サポート終了】Amazon Linux サーバー移行ソリューション

この記事をかいた人

About the author

かわ けん

システムソリューション部所属
好奇心旺盛ポケ○ン