Vol.04 ゼロトラスト時代のセキュリティ〜エンドポイント保護の強化〜

この記事であなたがやるべきこと

後述する「エンドポイント保護で見直すべき3つのポイント」を理解して、

従来の「アンチウイルスを入れておけば大丈夫」という考えを改め、

ゼロトラスト時代に求められるエンドポイント保護の第一歩を踏み出せるようになること。

はじめに

「社員のPCには全部ウイルス対策ソフトを入れているから、エンドポイントのセキュリティは万全です」

こんな報告を聞いたことはありませんか？または、自分でこう報告したことはありませんか？

前回までの記事では、ゼロトラストの基本概念（Vol.01）、アイデンティティ管理（Vol.02）、ネットワークセグメンテーション（Vol.03）について解説してきました。しかし、これらの対策を完璧に実装しても、肝心の「エンドポイント」が脆弱では意味がありません。

エンドポイントとは、簡単に言えば「従業員が直接使うデバイス」のことです。会社のPC、スマートフォン、タブレット、そして最近では在宅勤務で使う個人のPCも含まれます。

ここが攻撃の起点となることが非常に多いのに、多くの組織では「ウイルス対策ソフトを入れておけばOK」という認識のままです。本記事では、その考え方がなぜ危険なのか、そして何をすべきなのかを分かりやすく解説します。

「ウイルス対策ソフトがあれば安全」は過去の話

従来のエンドポイント保護のやり方

これまで多くの会社では、まずウイルス対策ソフトを全PCに導入することから始めていました。このソフトは「既知のウイルス」のデータベースを持っており、ファイルをスキャンしてウイルスを見つけたら削除する仕組みです。データベースは定期的に更新され、新しく発見されたウイルスの情報が追加されます。

次に、Windowsファイアウォールを有効にして不審な通信をブロックします。多くの場合、特別な設定はせず、デフォルトの設定のまま使用していました。

そして月に1回程度、Windows Updateを実行してセキュリティパッチを適用します。多くの組織では、この作業は手動で行われており、担当者が各PCを個別に更新していました。

こうした対策を実施すれば「エンドポイントのセキュリティ対策は完了」と考えていた組織がほとんどでした。

なぜこの方法では現代の攻撃を防げないのか？

従来のウイルス対策ソフトが抱える最大の問題は、「過去に見つかったウイルスの特徴」をデータベースに登録して検出している点です。つまり、新しく作られたウイルスや、既存のウイルスを少し改造しただけのものは素通りしてしまいます。現実には攻撃者は毎日のように新しいマルウェアを作成しており、データベースの更新が追いつかないのが実情です。

さらに深刻なのは、最近の攻撃ではハードディスクにウイルスファイルを保存せず、メモリ上でのみ動作する「ファイルレス攻撃」が主流になっていることです。従来のウイルス対策ソフトは「ファイル」をスキャンするため、ファイルを作らない攻撃は検出できません。

また、攻撃者はWindowsのPowerShellやコマンドプロンプトなど、もともとシステムに入っている正規のツールを悪用するようになりました。これらのツール自体は何も問題ないため、従来の方法では「攻撃」として認識されることはありません。

実際に起きた被害事例

ケース1：KADOKAWA グループへのランサムウェア攻撃（2024年6月）

2024年6月8日、KADOKAWAグループがランサムウェア攻撃を受け、ニコニコ動画をはじめとする複数のサービスが停止しました。攻撃者はフィッシング攻撃で従業員のアカウント情報を窃取し、そこから社内ネットワークに侵入。結果として25万人以上の個人情報が漏えいし、復旧に約2ヶ月、84億円の売上減少という深刻な被害となりました

ケース2：大阪急性期・総合医療センターでの感染拡大（2022年10月）

大阪の総合病院が委託している給食業者のVPN機器に脆弱性があり、そこから病院のシステムに侵入されました。病院側は全ユーザーに管理者権限を付与し、複数のサーバで共通パスワードを使用していたため、攻撃が一気に拡大。電子カルテが使えなくなり、完全復旧まで約2ヶ月、被害額は十数億円に及びました。

これらの事例が示すように、「従来の対策だけでは不十分」なのが現実です。

ゼロトラスト時代のエンドポイント保護とは

ゼロトラストでは「何も信頼せず、常に検証する」という考え方でした。エンドポイント保護においても、この考え方が重要になります。

基本的な考え方の変化

従来は「ウイルス対策ソフトが入っているPCは安全」という前提で運用していました。しかし、ゼロトラストでは「どんなPCも潜在的に危険であり、常に監視して、おかしな動きがあったらすぐに対処する」という考え方に変わります。

この変化により、エンドポイント保護は「予防中心」から「検知・対応中心」へ、「定期チェック」から「常時監視」へ、そして「PC単体の管理」から「全体連携」へと進化しています。簡単に言えば、「守る」から「見張る」へのシフトです。

エンドポイント保護で見直すべき3つのポイント

ゼロトラスト時代のエンドポイント保護を実現するために、以下の3つのポイントを押さえましょう。

「いつもと違う動き」を見つける仕組みを作る

従来のウイルス対策ソフトは「知っているウイルス」しか見つけられませんでした。しかし現在は、PCの「いつもと違う動き」を監視して、新しいウイルスも見つける技術があります。

例えば、普段は使わない時間帯に大量のファイルが暗号化されたり、見慣れない場所に大量の通信をしたりする動きを検知します。これを「EDR（エンドーポイント検知・対応）」と呼びます。

何から始めるか 現在使っているウイルス対策ソフトのメーカーに「EDR機能はありますか？」と聞いてみてください。多くの場合、追加オプションとして提供しています。

PCの「健康状態」をチェックする習慣を作る

「ウイルス対策ソフトが止まっているPC」「3ヶ月前からアップデートしていないPC」こうしたPCが社内にあると、そこから感染が広がります。

そこで、全社のPCが「セキュリティ的に健康な状態」かを定期的にチェックし、問題があるPCは社内システムへのアクセスを制限する仕組みが必要です。

何から始めるか Microsoft 365やGoogle Workspaceを使っている会社なら、標準でPC管理機能があります。まずは現在使っているサービスでどんな管理ができるかを確認してみましょう。

「怪しいアプリ」の実行を防ぐ

ウイルスの多くは「勝手にインストールされる怪しいプログラム」です。そこで、PCで実行できるアプリを「会社が承認したもの」に限定し、それ以外は実行できないようにします。

ただし、いきなり厳しく制限すると業務に支障が出るため、まずは「どんなアプリが使われているか」を把握することから始めます。

何から始めるか Windows 10/11なら標準で「どのアプリが使われているか」を記録する機能があります。まずは1ヶ月間、現状を把握してみましょう。

今日からできる！エンドポイント保護の改善

すぐに始められる改善策を3つの段階に分けて紹介します。

まず今すぐやること（所要時間：1時間）

• 現状を把握する

  社内に何台のPC・スマートフォンがあるか、それぞれにどんなセキュリティソフトが入っているかを確認してください。意外に「あのPCにはウイルス対策ソフトが入っていなかった」ということがあります。

• 基本設定をチェックする

  各PCで、ウイルス対策ソフトのリアルタイム保護が有効になっているか、Windowsファイアウォールが有効になっているか、自動アップデートが有効になっているかを確認してください。

今週中にやること（所要時間：半日）

• 管理者権限を見直す

  一般の従業員には管理者権限を与えず、必要な時だけ別のアカウントで作業するようにしてください。これだけで多くの攻撃を防げます。

• EDR機能について問い合わせる

  現在使っているウイルス対策ソフトのメーカーに連絡し、「EDR機能はありますか？いくらですか？」と聞いてみてください。

今月中に検討すること

• PC管理ツールを調べる

  Microsoft 365やGoogle Workspaceを使っている場合は、どんなPC管理機能があるかを調べてみてください。使っていない場合は、他の管理ツールを検討してください。

• BYOD（個人端末の業務利用）の整理

  もし従業員が個人のPCやスマートフォンで業務をしている場合は、どんなルールが必要かを検討してください。

よくある疑問・注意点

Q1:  EDR（エンドポイント検知・対応）って、中小企業でも必要ですか？

A: 企業規模に関わらず、現代の脅威から身を守るためには必要な機能です。「うちは小さな会社だから狙われない」という考えは危険で、実際に中小企業を狙った攻撃も増えています。

最近では中小企業向けの手頃な価格のEDRサービスも増えています。既存のウイルス対策ソフトのEDRオプションを検討したり、クラウドベースのサービスを活用すれば初期費用を抑えられます。重要なのは、「何もしない」リスクと「導入コスト」を比較することです。

Q2: 従業員が「監視されている」と感じて反発しませんか？

A: 確かに重要な懸念点です。大切なのは、監視の目的がセキュリティ向上であることを丁寧に説明することです。

監視するのはセキュリティに関わる設定や動作、業務に関連するアプリの利用状況、マルウェアの感染兆候だけです。個人的なWebサイトの閲覧履歴や、プライベートなファイルの中身、業務に関係ない個人的な通信は監視しません。

何を監視しているかを従業員に明確に説明し、プライバシーポリシーを策定・公開することで理解を得ることができます。

Q3: 個人のPCやスマートフォンで仕事をしている場合はどうすればいいですか？

A: BYOD（個人端末の業務利用）は特に慎重な管理が必要です。

技術的には、業務用アプリのみを管理対象とし個人データには触れないようにしたり、仮想デスクトップで業務環境を分離したり、業務データを端末に保存させずクラウドで作業を基本とする方法があります。

ルール面では、BYOD利用規程を策定し、セキュリティ要件（OS最新化、パスワード設定など）を明確にし、違反時の対応手順を整備する必要があります。

段階的なアプローチとして、まずは会社支給端末のセキュリティを固め、次にBYODのリスク評価を実施し、必要に応じて管理ツールの導入を検討することをおすすめします。

まとめ：エンドポイント保護の新しい考え方

従来の「ウイルス対策ソフトを入れておけば安全」という考え方から、「常に監視し、迅速に対応する」考え方への転換が必要です。

今回のポイントをおさらい

1. 振る舞い監視の重要性： 未知の脅威も行動パターンで検知

2. PC健康状態の管理： セキュリティ設定を常時チェック

3. アプリケーション制御： 信頼できるアプリのみ実行を許可

これらは一度に完璧に実装する必要はありません。現在の状況を把握し、優先度の高いものから段階的に取り組んでいけば、確実にセキュリティレベルを向上させることができます。

重要なのは、「完璧」を目指すのではなく、「継続的な改善」の姿勢です。エンドポイント保護は一度設定すれば終わりではなく、脅威の変化に合わせて継続的に見直し・改善していく必要があります。

次回の「ゼロトラスト時代のセキュリティ 5: ゼロトラストへの移行ロードマップ」では、これまで解説してきたアイデンティティ管理、マイクロセグメンテーション、エンドポイント保護を統合し、実際にゼロトラストを導入するための具体的な手順とロードマップについて解説します。

最後までお読みいただき、ありがとうございました！