米国国防総省が採用のエンドポイントセキュリティ 「あえてオンプレ」のメリットは：エンドポイントは“最後のとりで”

ランサムウェア攻撃を筆頭に、手口が巧妙化して被害が増えるサイバー攻撃。これに対する“最後のとりで”がエンドポイントのセキュリティ対策だ。最近はSaaSの導入が主流だが、あえてオンプレミスを選ぶというニーズも根強い。エンドポイントセキュリティ製品の統合管理を、オンプレミスで実現する意義やメリットとは。

[PR／ITmedia]

PR

　ランサムウェアが依然として猛威を振るっている。被害は凶悪化し、ひとたび狙われたら組織は何カ月も全力で戦わざるを得ない。加えて、最近は内部から重要な情報が流出するケースもあり、データセキュリティの強化も必要となって、セキュリティ対策は増える一方だ。

　これに対する“最後のとりで”となるのがエンドポイントだ。ウイルス感染を防いだりデータ資産を守ったりするために、アンチウイルスソフトやEDR（Endpoint Detection and Response）製品を導入して、PCやスマートフォンなどのエンドポイントのセキュリティを強化することは喫緊の課題だ。

　ただし、日々の業務に忙殺されているセキュリティ管理者にエンドポイントを監視し続けるリソースはない。運用負荷をなるべく低減しつつ、端末やエンドポイントセキュリティ製品を統合管理して、状況をリアルタイムで把握する仕組みが必要だ。

　初期投資が不要で日常の運用負荷が小さいことから、こうした仕組みを実現する方法としてSaaSを導入するのが主流になっている。しかし、あえてオンプレミスを選ぶというニーズも根強い。本稿は、エンドポイントセキュリティ製品の統合管理をオンプレミスで実現する意義やメリットを解説する。

「あえてオンプレ」の根強いニーズ

　SaaSの利用が増える中、組織があえてオンプレミスを選ぶ理由は主に2つある。

　1つ目は、情報システムの安定稼働を最優先する場合だ。SaaSではバージョンアップデートのタイミングはベンダー側が決定する。しかし、バージョンアップが必ずしも順調に完了するとは限らない。

　環境によっては、他のソフトウェアとの兼ね合いやバージョンアップによるデフォルト設定の変更などからシステムに不具合が生じたり、最悪の場合動かなくなったりするというリスクがある。そうなれば本業に影響が出るのは必然で、多額の損害を被る。

　そうした事態を回避するため、組織は検証環境を別に設けてバージョンアップの影響を入念に確認する。手間やコストがかかるタフな作業だが、本業への影響を考えれば必要不可欠だ。言い換えれば、こうした組織は自社でセキュリティ製品のバージョンアップのタイミングをコントロールしたいと考えており、SaaSのように自動でバージョンアップされては困るのだ。

　極端な場合、ベンダー主導のバージョンアップを拒否し、安定稼働する“枯れたバージョン”を使い続ける組織もある。SB C&Sの佐藤洋一氏（ICT事業本部　ネットワーク＆セキュリティ推進本部　マーケティング1部　2課）は以下のように語る。

SB C&Sの佐藤洋一氏（ICT事業本部　ネットワーク＆セキュリティ推進本部　マーケティング1部　2課）

　「クラウドサービスを提供するベンダーは最新バージョンを使うことを推奨しています。しかし実際の運用では必ずしもそれが好まれるとは限らず、ベンダーではなく自社のタイミングやペースで実施したいというニーズが少なくありません」

　2つ目は、システムのインターネット接続を組織が拒むケースだ。外部に出てはならない機微情報を大量に保持し、閉域網でシステムを運用している工場や医療機関などでよくある。こうした組織はエンドポイント保護や管理をオンプレミスで行う必要があり、「セキュリティ対策はそもそも閉じた空間でないと安心できないと考え、SaaSではなくオンプレミスを好みます」と佐藤氏は言う。

　しかし、時代の流れは“SaaSファースト”に移行しており、ベンダーもオンプレミスよりSaaSに軸足を置くようになっている。製品の“選択と集中”によってオンプレミス版の提供を停止する向きもあり、引き続きオンプレミスでセキュリティを強化したい組織は、この先どうなってしまうのかと不安を抱えているかもしれない。

エンドポイントセキュリティ製品を統合管理する「Trellix ePO」

　そうした組織が注目すべきオンプレミス製品が、米国Trellixの「Trellix Endpoint Security」だ。オンプレミス対応をやめるベンダーが多い中、なぜTrellixは提供し続けるのか。Trellixの大出賢一氏（パートナー営業本部　本部長）は以下のように答える。

Trellixの大出賢一氏（パートナー営業本部　本部長）

　「Trellixは、米国の国防総省などセキュリティ対策が最優先であるが故にオンプレミスを望む顧客を多く抱えています。顧客のニーズが続いているため、オンプレミス製品の開発リソースを減らすという必要性を感じていません」

　Trellix Endpoint Securityは、マルウェア対策機能やファイアウォール機能、Web脅威対策機能、情報漏えい対策機能などのセキュリティ機能を数多く含んでいる。

　Trellix Endpoint Securityを統合管理するための統合管理コンソールが「Trellix ePolicy Orchestrator」（以下、Trellix ePO）だ。Trellix ePOはPC、WindowsやLinux、AndroidやiOS、仮想デスクトップといった幅広いエンドポイントを対象に一元管理できる。

　視認性に優れたダッシュボードを備え、各端末が正常に稼働しているかどうか、定義ファイルを更新しているかどうか、不審なファイルが検出されているかどうかなど、セキュリティ管理者が確認したいポイントを1つの画面で把握できる。管理者にアラートメールを送ったり定期レポートを生成したりすることも可能だ。

Trellix ePOのダッシュボードのイメージ（出典：Trellix提供資料）

　Trellix ePOはオンプレミス版の他、PaaS版、SaaS版の3つの導入形態があるが、オンプレミス版にはオンプレミスならではの強みが2つある。

　1つ目は階層管理機能だ。グループ内にサブグループを作成して親グループのポリシー設定を継承したり、サブグループ内で個別に設定したりできる。

　例えばA、B、C工場でそれぞれTrellix ePOを立ち上げて権限を移譲して運用でき、本社でも全工場の状況を把握するグループ管理が可能だ。各拠点に相応の自由度を与えつつ組織としてのガバナンスは効かせたいという場合に、階層管理機能は最適だ。Trellixの顧客にも、この機能が目的でオンプレミス版を使い続けているケースもある。

Trellix ePOの階層管理機能のイメージ（出典：Trellix提供資料）

　2つ目は、対応する言語と製品の多さだ。SaaS版の表示言語が5カ国語であるのに対して、オンプレミス版は13カ国語に対応。データを自動的に暗号化する「File and Removable Media Protection」や「Drive Encryption」などSaaS版ではサポート対象ではない製品に対応している。

国内外に広がっているTrellix ePOの導入

　国内外の多くの組織がTrellix ePOを導入している。米国国防総省が採用している他、日本でも工場を所有する製造業者などが組み込みエンドポイント端末のセキュリティ管理のためにTrellix ePOを導入している。インターネットへの接続を控えるという組織の特性上、官公庁や地方公共団体もTrellix ePOを採用している。

　佐藤氏は、Trellix ePOを提供する意義を次のように語る。

　「われわれはディストリビューターで、さまざまなベンダーと付き合っています。中にはSaaS推しのベンダーもあれば、オンプレミス版も提供しているTrellixのようなブランドもあります。オンプレミス版を好む顧客も一定数いるため、Trellix製品を案内できるというのはわれわれとしても心強いです」

　Trellix製品のサポートをSB C&Sは長年担当し、オンプレミス版に関しても豊富なナレッジを誇っている。SB C&Sなら重大な障害時の一次受け付けは24時間対応で、日本語による問い合わせに対応している。

　SB C&Sの販売ネットワークは、約1万3000社の販売パートナーと約4万3000の拠点を有している。まさに網の目のような販売ネットワークでパートナーと緊密に連携し、オンプレミス版Trellix ePOの提供を支えている。

きめ細かく管理したいなら、軍配はオンプレミスに

　オンプレミス版セキュリティ製品の未来に不安を抱く顧客に、大出氏はこう語る。

　「利用する端末を守ることは非常に重要で、エンドポイント保護はセキュリティ対策強化の一丁目一番地です。Trellixのエンドポイントセキュリティ製品は保護、検出のみならず攻撃を自動的にブロックでき、凶悪化するサイバー攻撃の防衛という意味で極めて重要な製品です。専任のセキュリティ管理者のいない中小企業には重要なポイントである『導入しやすくて手間なく運用できる』という点も、オンプレミス版のTrellix ePOは優れています。中小から大企業まで、幅広い顧客に適切なエンドポイントセキュリティ製品と言えるでしょう」

　SaaSにはSaaSの、オンプレミスにはオンプレミスの良さがある。周りに惑わされず、組織の状況に応じて検討することが何より重要だ。柔軟性を持ち、かつきめ細かくエンドポイントのセキュリティ対策をしたければ、オンプレミス版のTrellix ePOは有力な選択肢になるだろう。