企業や組織の情報システムが高度化し、日々さまざまな脅威にさらされていく中で、情報資産を守るためのセキュリティ対策の必要性は以前にも増して大きくなっている。従来は外部からの不正侵入を防ぐことを重視していたが、現在は内部ネットワークに侵入されたあとの動きにも注視しなければならなくなった。この背景には、従業員や関係者の利用端末、いわゆるエンドポイントが標的にされる攻撃が増加している実態がある。その対抗策の一つとして、エンドポイントで発生するイベントを監視し、それを基にして攻撃の兆候や事後対応を行う技術が登場した。イベント駆動型の防御技術として注目されているもののひとつに、適切なエンドポイント監視と対応を実現できるソリューションがある。
この技術は主に各端末の挙動や利用状況、特異な通信やファイルのやりとりなど、システム内部で発生するあらゆる情報をリアルタイムもしくは一定間隔で収集する。そのため、万が一本来の防御網を突破されてしまった場合にも、被害拡大の予兆に素早く気付き、被疑端末を把握し、ネットワークまたはサーバーとの関係性を調査することで事後対応力が大幅に向上する。従来型の対策が主に“侵入を阻止する”ことに重きを置いているのに対し、エンドポイントの監視と対応を目指したこの仕組みは“侵入された後どう動くか”という段階を含めて考慮している点に大きな違いがある。現代の攻撃手法は多様化し、特定の端末や部署を標的にし、なおかつ侵入後も外部との不審な通信を重ねたり、社内の他端末やサーバーに段階的に侵入を広げたりして、被害が徐々に拡大していくことが多い。そのため、解析のできる仕組みがなければ、どのように内部で脅威が進行しているか気付きにくくなってしまう。
この観点で導入される技術は、様々なエンドポイント端末、いわゆるパソコンやノート型装置などに専用の監視用プログラムを導入し、これを通じて端末単体だけでなく、企業や団体のネットワーク全体の監視強化にも大きな役割を果たす。たとえば、利用者が日常的に利用するアプリケーションの起動履歴、ファイル作成や削除、管理者権限の変更操作など、普段なら見過ごされがちな挙動を継続的にログとして保持してくれる。また、これらの情報から普段と異なる挙動を検出した場合、即座に管理者にアラートを出す機能も備えている。万が一不正アクセスやウイルス感染などが見つかった場合には、その端末を速やかにネットワークから切り離したり、サーバーへのアクセス制限をかけたりといった即時対応も可能である。この素早い対応によって、本来なら全体に広がるはずだった被害範囲を最小限に食い止めることができる。
さらに、個々の端末の詳細な操作履歴など調査材料を残してくれるので、事後対応時に改ざんや消去があったかどうかを含めて正確に分析できる点も大きい。また、この端末監視技術は個々のエンドポイントだけにとどまらず、大規模なネットワークやサーバー群に対しても広範囲な可視化を可能にする。管理者は全社的な単位で端末を一元管理し、サーバーの異常な接続要求や外部データベースへの不自然なアクセスなども監視できる。複数拠点にまたがる企業などでは、これによって複数のオフィス間でも均質なセキュリティレベルが保たれるようになった。対象となる情報資産の範囲はノート型装置や固定端末のほか、重要なファイルを保管するサーバーや特定部署のあるネットワーク段、研究施設のネットワークなど、非常に幅広い。
情報が持ち出されやすい端末やセンシティブなデータを扱うサーバーについては、一元管理体制の下できめ細やかに監視しなければ安全性を保ちづらい。ここで蓄積される監視ログは監査やトラブル発生時の証拠としても効果的であり、企業だけではなく公共機関にとっても欠かせない運用基盤となっている。セキュリティの観点から見たとき、従来のファイアウォールやゲートウェイ型の監視だけで十分かというと、内部不正や外部からの侵入に対し、より細分化された対策を求められる時代に突入している。この潮流において多層防御の一環となるこの仕組みは、ネットワーク全体と連携することでより堅牢な監視体制を構築する。併せて、万全とは言えないクラウドサービスや個人所有端末の利用などにも柔軟に対応できるのも大きなメリットだ。
情報化社会において増大する脅威に対応するためには、端末やサーバー単位だけではなく組織全体を見据えた形でのセキュリティ計画が不可欠である。単に「ウイルス対策と侵入防御だけ」の時代は終わり、詳細なイベントログの収集からネットワーク全体・サーバーや個別端末まで一元的に監視・管理し、早期検知から復旧、再発防止に至るまで広範囲な機能を担うことが、組織全体の安全を守るカギとなる。こうした観点からも、端末監視および対応の仕組みの重要性がこれからますます高まると考えられる。企業や組織の情報システムは高度化し、従来型の「外部からの侵入防止」だけでは情報資産を十分に保護できなくなっている。最近では、従業員や関係者が利用するエンドポイント端末が標的とされる攻撃が増加しており、侵入後の被害拡大のリスクも高まっている。
このため、端末で発生する各種イベントをリアルタイムに監視し、不審な挙動があれば即座に検知・対応する技術の導入が重視されている。エンドポイント監視により、異常な通信やファイル操作、権限の変更なども継続的に記録・分析でき、不正アクセスが判明した際の即時対応や被害の局所化、証拠保全が可能となる。また、企業全体の端末・ネットワークを一元的に監視することで、複数拠点にわたる大規模組織でも均質なセキュリティレベルを保てる。情報漏洩リスクの高い端末やセンシティブなデータを扱うサーバーの監視体制強化は、組織や公共機関にとって不可欠となった。従来のファイアウォールやゲートウェイ型対策だけでは不十分な時代に、多層的な防御の一環としてエンドポイント監視の重要性は今後さらに増していくことが考えられる。