エンドポイントセキュリティとは

エンドポイントとは、企業ネットワークにアクセスするすべてのデバイスです。今日、それは、デスクトップコンピューターやサーバだけではありません。今は従業員がリモートで働いています。どこでどのような形態で働いていても、ノートパソコン、iPad、iPhone、スマートウォッチなどを経由して、重要な情報（暗号化されているとは思いますが）に24時間365日アクセスしています。また、ユーザ所有のデバイスだけではありません。プリンタ、FAX、POSシステム、および急増中のInternet of Things（IoT）デバイスなど、企業ネットワークにアクセスするものすべてがエンドポイントに含まれます。

今や主要ステークホルダー全員がサイバーセキュリティのリスクをはっきりと意識していますが、幸いなことに、エンドポイントを保護するための考え抜かれたアプローチは、まったく難しいものではありません。その多くはI基本的なITの予防措置です。重要なことは、できるかぎり自動化して常に一歩先を行くことです。以下に、エンドポイントセキュリティの基本的なベストプラクティスを示します。

1. 企業ネットワークにアクセスするすべてのデバイスの検出、インベントリ、および追跡

プラットフォーム、オペレーティングシステム、または場所にかかわらず、企業ネットワークに接続するすべてのデバイスを認識、追跡、および監視できる必要があります。これには企業所有のコンピューター、プリンタ、およびIoTデバイスだけでなく、従業員がBYOD（個人所有のデバイスの活用）プログラムの一環として使用するノートパソコン、タブレット、および電話も含まれます。

未承認の人物がこれらのデバイスにアクセスできないようにする必要があるだけでなく、企業ネットワークへのアクセスが想定されていないのは何か、つまり必要以上のアクセス権を持っているのは誰か、そしてどのデバイスが感染したかも明らかにする必要があります。また、統合エンドポイント管理システムを導入しておらず、複数の多様な管理システムの管理を強いられている場合であっても、エンドポイントのセキュリティを保証するためには、このレベルの可視性および管理が不可欠です。

2. 最新のオペレーティングシステム、セキュリティソフトウェア、および���ッチの導入および保守

企業ネットワークにアクセスするすべてのデバイスを可視化できれば、更新が必要なエンドポイントや、インストール済みまたはインストールが必要なオペレーティングシステム、アプリケーション、およびセキュリティソフトウェアへのパッチ適用を要するエンドポイントを特定できます。

すべてのデバイスに最新のセキュリティソフトウェアをインストールしておけば、エンドポイントでのマルウェアのブロックおよび削除に役立ちます。お使いのオペレーティングシステムおよびアプリケーションのベンダーは、セキュリティソフトウェアによって提供される保護に加え、ソフトウェアの脆弱性の修正に多額の投資を行っています。しかし、これらの更新およびパッチが効果を発揮するためには、お使いのエンドポイントが常に最新の状態に保たれている必要があります。

3. ユーザ権限の制限

Zero Trustセキュリティへの取り組みの一環として、未承認のユーザが機密データにアクセスしたり、感染の恐れのあるマルウェアを拡散したりできないようにする必要があります。管理者は、ユーザが手持ちのエンドポイントからアクセスしているシステムはどれか、各ユーザのアクセス権はロールにふさわしいかを追跡する必要があります。企業のシステムおよびデータについて、職務の遂行に必要な最小限のアクセスをユーザに付与する必要があります。デフォルトでは、必要なシステムへの最小特権アクセスがユーザに付与されており、管理者資格情報は特定のユーザにのみ付与されています。

4. USBポートの厳重な管理

無人のワークステーションや、さらにはプリンタやカメラ、外付ドライブといったデバイスのUSBポートは、企業データの盗難またはネットワークのマルウェア感染に利用されることがあります。マルウェアの防止、データ盗難の回避、およびZero Trustセキュリティモデルの維持を実現するため、管理者は最小特権の原則を使用して誰がどこでどのUSBポートへのアクセス権を持つかを細かく制限する必要があります。

5. 脆弱性の発見と修正

システムの脆弱性を生み出す可能性のあるソフトウェアバージョン、設定、またはデバイス構成を見つける必要があります。すべてのWindows、Mac、およびLinuxシステムに対してOpen Vulnerability Assessment Language（OVAL）スキャンを実行して、定期的にITセキュリティ監査を行ってください。これにより、セキュリティおよび設定ポリシーに従っていない環境およびシステム内で、脆弱性を見つけて修正できます。

6. 紛失または感染したデバイスの迅速な修正

お使いの従来型デバイスおよびモバイルデバイスを常に追跡および監視してください。モバイルデバイスを紛失した場合は、デバイスまたはパスワードをリモートでロック、消去、または初期化して、企業データへのアクセス、破壊、または盗難を防ぎます。また、マルウェアに感染した疑いがある場合は、速やかにゴールド・マスター・イメージからデバイスのイメージを再作成してください。