ホーム > PC-Webzineアーカイブ > エンドポイント保護とデバイス管理で情報漏洩を防止せよ

エンドポイント保護とデバイス管理で情報漏洩を防止せよ

エンドポイント保護とデバイス管理で情報漏洩を防止せよ

2016年12月10日更新

今回のテーマ:情報漏洩対策の中で重要なエンドポイントセキュリティを強化したい

企業の情報が集まるのはPCやサーバーなどのエンドポイント端末だ。特にPCは、標的型攻撃によるマルウェア感染で管理者権限を乗っ取られると、そこを起点に情報が盗み出されるため、セキュリティ対策を強化する必要がある。

サイバー攻撃や内部不正による情報漏洩を エンドポイント保護とデバイス管理で防ぐ

未知のマルウェアからPCを保護

サイバー攻撃の高度化や、業務利用するモバイルデバイスの増加により、エンドポイントを守るセキュリティが重要になっている。


例えばサイバー攻撃では、従来企業のエンドポイント端末であるPCにインストールされていたアンチウイルスソフトでは対応が難しい未知のマルウェアが増加している。未知のマルウェアの場合、既存のパターンマッチング検知を採用したアンチウイルスソフトでは検知ができないため、よりエンドポイント端末を保護できる製品の導入が望ましい。例えばマルウェアの特徴的な挙動の有無を調べるヒューリスティック検知であれば、未知のマルウェアを検知できる可能性が高まるのだ。


特に昨今、社内や関係者から送信されたとみせかけたメールにマルウェアを仕込んだファイルを添付し、PCをマルウェアに感染させる標的型攻撃が増加している。マルウェアは感染したPCから企業内部のネットワークを移動して重要情報を盗み出すため、気づかないうちに大規模な情報漏洩を引き起こすケースが多い。このような標的型攻撃は対策が難しく、入口、内部、出口でそれぞれ多層的な対策を講じることが重要になる。中でも内部のエンドポイントのセキュリティや、アクセス権の管理をしっかりと行っておくことで、例え侵入されても情報が盗み出される可能性を低減できる。

外部に持ち出すデータには暗号化を

情報漏洩を引き起こすケースはマルウェアの感染ばかりではない。モバイルデバイスやUSBメモリーを社外で紛失してしまい、その内部に保存されていたデータが流出してしまうケースもある。また、内部関係者が重要情報にアクセスし、不正に情報を盗み出すことで情報漏洩を引き起こしたケースもある。


このような事態を防止するため、許可された外部メディア以外はPCに接続できない設定を行ったり、万が一外部に情報が漏洩したりした場合でも被害を最小限に抑えられるよう、外部に持ち出すデータには暗号化を行っておくなどの対策を講じる必要がある。また、外部にデータを持ち出す場合、USBメモリーだけでなくメールへファイルを添付したり、オンラインストレージにデータをアップロードしたりする可能性がある。そうした経路からのデータ流出が防げる製品であることも重要だ。


企業のセキュリティ対策は、複数の端末を対象に行うため、それらを包括的に管理ができるツールも必要になる。特に中小企業の場合、管理サーバーを構築する負担を低減できる、クラウド対応の管理ツールの利用が望ましいだろう。


今回はキヤノンITソリューションズ、トレンドマイクロ、インテル セキュリティの三社に製品を提案してもらった。


課 題

●巧妙化された未知のマルウェアも検知したい!
●多様な情報漏洩経路をすべて管理したい!
●導入・管理負担の少ない製品を導入したい!

ESET Endpoint Protectionシリーズ
複数OS環境を包括的に管理します

キヤノンITソリューションズ
ESET Endpoint Protection Standard:4,007円(6?24ユーザーの場合の1ライセンス/新規)
ESET Endpoint Protection Advanced:5,789円(6?24ユーザーの場合の1ライセンス/新規)

高度化/巧妙化された未知のマルウェアの検出に対応

ウイルス検出率の高さと動作の軽さを兼ね備えたセキュリティ製品「ESET Endpoint Protectionシリーズ」を提案する。本製品は、未知のマルウェアを検出するコア技術であるヒューリスティック技術をベースとした製品だ。「静的解析(プログラムコード解析)」「動的解析(エミュレータ)」「遺伝子工学的解析(ジェネリックシグネチャ)」の3つの機能により検出が難しい高度化/巧妙化されたマルウェアから、エンドポイントを多層的に防御できる。


本製品は、PC内部に保管されている機密情報を盗み取るようなマルウェアの検出や、重要な情報を偽のWebフォームから送信させるフィッシングサイトのアクセスを遮断することで、マルウェアの感染や重要な情報の漏洩からPCを守れる。


ESET Endpoint Protectionシリーズに加えて、同社のデータ暗号化製品「ESET DESlock Plus Pro」を導入すると、HDDやUSBメモリーなどのストレージの暗号化や、ファイル単位の暗号化などが行える。昨今はデータのやり取りをネットワークを介した通信で行うことが主流であるため、ハードウェア単位だけでなく、ファイル単位で暗号化を行うことで、万が一情報が外部に漏れた場合でも中のデータを見られる可能性を抑えられるのだ。


クライアントの管理も行いやすい。ESET Endpoint Protectionシリーズにはクライアント管理ツールが無償で同梱されており、WindowsやMac、AndroidなどのさまざまなOSを一元管理できる。「ESETクライアント管理 クラウド対応オプション」を選択すれば、自社内にクライアント管理用のサーバーを構築することなく、クラウド上で管理が行えるため、導入にかかる手間とコストも削減できる。


企業向けESET Endpoint Protectionシリーズでは、ウイルス・スパイウェア対策に特化した「ESET Endpoint Protection Standard」と、迷惑メール対策や不正侵入対策など包括的なセキュリティ対策を行える「ESET Endpoint Protection Advanced」をラインアップしている。企業のニーズに応じて製品の選定を行いたい。

ポイント1
高検出率のエンジンにより未知のマルウェアを検出

ポイント2
管理ツールによるクライアント管理環境を提供

ポイント3
同社暗号化製品の組み合わせにより情報漏洩を防止

ウイルスバスター コーポレートエディション 情報漏えい対策オプション
さまざまな情報漏洩経路をシャットアウトします

トレンドマイクロ
「ウイルスバスター コーポレートエディション」:3,219円(1,000ライセンス導入の場合の1ライセンス価格)
「情報漏えい対策オプション」:2,808円(1,000ライセンス導入の場合の1ライセンス価格)

利便性を損なわないセキュリティ強化を実現

企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」のオプションで、簡単に情報漏洩対策を実現できる「情報漏えい対策オプション」を提案する。


ウイルスバスター コーポレートエディションはクライアントPCを脅かすさまざまな脅威に対して「侵入前の対策」「侵入中の対策」「侵入後の対策」の階層ごとに最適な処理を行うことで、低負荷で高い防御力を実現するセキュリティ対策製品だ。トレンドマイクロではこのウイルスバスター コーポレートエディションのオプション製品として、情報漏えい対策オプションを提供している。情報漏えい対策オプションとは、スマートフォンやUSBメモリー、ネットワークを経由した情報漏洩対策を一元的に行える機能だ。具体的には、情報漏洩の経路となりやすいUSBデバイスなどの外部デバイス制御や、マイナンバーや個人情報といった特定の情報の漏洩を防ぐポリシーの策定、個人情報などがどの端末にあるか一斉に検索して対処が行えるのだ。


例えばUSBメモリーにデータを保存し、デバイスを紛失してしまったことで情報漏洩してしまうケースも少なくない。そうした漏洩のリスクが高いUSBメモリーや、外部ストレージとして認識されるスマートフォンなどの接続を制限できるのだ。


ホワイトリストによって接続を許可するストレージデバイスを限定できるなど、業務効率を維持しながら不正な持込みストレージデバイスの接続を防げる。また、個人情報やマイナンバーなど監視対象となるファイルが漏洩経路を通過した際、リアルタイムに検査してログを送信したり、持ち出しを制限したりすることもテンプレートを利用して簡単に実現可能で、デバイス制御とファイル検査の両面から漏洩を防止できる。


エンドポイントにはさまざまな情報漏洩経路がある一方、そうした経路を制限するとユーザーの利便性を大きく低下させてしまう。本オプションを活用することで、利便性を損なうことなく、セキュリティ強化が実現できるのだ。

ポイント1
ウイルス対策のオプションとして簡単に導入できる

ポイント2
マイナンバーなど日本特有の漏洩対策ニーズに対応

ポイント3
業務効率を維持しながら不正やミスによる漏洩を防止する

McAfee Endpoint Protection Essential for SMB
管理サーバー不要で統合的に管理できます

インテル セキュリティ
4,061円(5ユーザーの場合の1ユーザー価格)

低コストかつスピーディな導入が可能

中小企業のセキュリティ保護に最適化されたオールインワンのエンドポイントセキュリティ製品「McAfee Endpoint Protection Essential for SMB」を提案する。


マルウェア対策、デスクトップファイアウォール、Web対策などの必須機能に加え、情報漏洩対策に求められるデバイス制御機能を提供するセキュリティスイート製品だ。マルウェア対策やアクセス保護、脆弱性対策などの機能が統合されたクライアント画面「McAfee Endpoint Security 10.0」は、シンプルでわかりやすく、タッチ操作にも対応しているためタブレットPCからでも利用しやすい。


導入や運用も簡単だ。導入は製品をダウンロードしてインストールするだけでよく、セットアップも非常に簡単なため、専任のIT管理者が不在の企業でも導入がしやすい。また、本製品ではセキュリティ統合管理ソフト「McAfee ePolicy Orchestrator」を無償提供している。利用環境に合わせてオンプレミスによる管理かクラウドによる管理か選択できるため、クラウドを選択すれば自社内で管理サーバーを用意せずに統合的な管理が可能だ。ハードウェアコストを削減して、低コストかつスピーディに導入・管理が行える。


セキュリティポリシーとして、会社指定のUSBメモリーなど、企業側で利用を認めるデバイスのみ接続を許可することも可能だ。使用デバイスを制限することで、データ持ち出しによる漏洩を防げる。また、デバイス管理をはじめとした全てのセキュリティ機能は、一つの管理コンソールから一元管理できる。


中小企業向けではあるが、脅威対策のレベルは非常に高い。世界最大規模の脅威情報データベース「McAfee Global Threat Intelligence」と連携しているため、大企業のセキュリティシステムと同じレベルの脅威情報をもとに、企業の情報資産を守れるのだ。


高いセキュリティレベルと管理のしやすさを兼ね備えた本製品は、中小企業に導入するセキュリティ製品として最適で、コストを抑えた運用が行えるだろう。

ポイント1

中小企業に必要な機能を備えたセキュリティ製品

ポイント2
クラウド対応で管理コストが低減できる

ポイント3

大企業と同じレベルの脅威情報を共有可能

キーワードから記事を探す