ESETが法人向けセキュリティ製品シリーズを拡充し、エンドポイント単体での防御力を強化する理由

在宅勤務時の業務PCセキュリティ、キーワードは「包括的な保護」

文●大塚昭彦/TECH.ASCII.jp

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 近年、「働き方改革」やテレワーク/在宅勤務が浸透したことで、「業務PCの社外持ち出し」はこれまで以上に一般化している。多層防御のさまざまなセキュリティで守られた社内ネットワークではなく、外出先や従業員宅のネットワークに接続して使われるこうしたPCでは、エンドポイント単体でのセキュリティ対策をさらに強化しなければならず、企業からの注目度も高まっている。

 ESETでは先月(2021年2月)、法人向けクライアントセキュリティ製品のメジャーバージョンアップ版である「ESET Endpoint Protection V8」と、国内初提供となる「ESET Full Disk Encryption」の提供を開始した。ここではより安心、安全なテレワーク/在宅勤務環境を実現するという観点から、包括的なエンドポイントセキュリティの実現を目指している。

 今回はこれらの製品が提供する新機能や特徴を含め、ESET製品シリーズが実現する「包括的なエンドポイントセキュリティ」とはどのようなものなのかを見てみたい。

ファイルレスマルウェア対策も強化した「ESET Endpoint Protection V8」

 ESET Endpoint Protection(以下、EEP)シリーズは、マルウェア対策に特化した「Standard」と、マルウェア対策に加えてネットワーク保護/迷惑メール対策/Webコントロールなどの機能も備える総合エンドポイントセキュリティ製品「Advanced」の2つで構成される。

 最新版のEEP V8でも多くの新機能/機能強化が図られている。ここでは大きく3つの特徴をピックアップして紹介したい。

 まずはマルウェア対策機能の強化だ。具体的には、詳細検査(スキャン)の対象にWindowsのシステムレジストリやWMI(Windows Management Instrumentation)データベースも追加した。これは特に、近年増えているファイルレス攻撃に対する検知能力強化を意図したものだという。

 攻撃プログラム(マルウェア)を送り込むのではなく、OSの標準機能を悪用して攻撃を図るファイルレス攻撃は、検知が難しいと言われる。これに対抗するため、EEP V8では検査対象を拡大したわけだ。たとえば、WMIを書き換えてPowerShellを実行し、マルウェアをダウンロードさせるといった攻撃を事前に検知、防御することが可能になった。

WMIデータベースやシステムレジストリがスキャン対象に追加された

 2つ目の特徴は「セキュアーブラウザー」だ。これは、WebブラウザーをESETのプロセス配下で安全に起動、実行することにより、他のプロセス(攻撃プロセス)からの不正操作を防ぎ、またブラウザー上のキー入力を難読化してキーロガーによるパスワードなどの窃取を防ぐセキュリティ機能である。ESETの個人向けセキュリティ製品ではすでに長年の実績がある

 この機能の大きな特徴は、主要なブラウザー(Microsoft Edge、Internet Explorer、Google Chrome、Mozilla Firefox)をサポートしているため、ユーザーがこれまで使い慣れたものをそのまま使える点だ。ブラウザーの拡張機能も変わらず利用できるので、セキュリティ対策のために業務効率が低下する心配がない。

 特徴の3つ目として、メンテナンス性の向上が挙げられる。具体的には、ソフトウェアアップデートを小さなコンポーネント単位で実行できる仕組み(MicroPCU)を新たに採用した。これにより、EEP V8では管理者の設定に応じて、EEPの新バージョンや緊急修正プログラム(Hotfix)がリリースされた際、ユーザーの手作業なしで自動アップデートを実行できるようになった。

 なお、今回のEEPメジャーバージョンアップに合わせて、EEPの管理サーバーは「ESET PROTECT」という名前に改称された(旧称:ESET Security Management Center)。この新しいESET PROTECTは、EEPに加えて、次に紹介するディスク暗号化製品の配布やポリシーベースの管理にも対応する機能を備えている。

「ESET PROTECT」のWebダッシュボード。ESETのエンドポイントセキュリティ製品群の“司令塔”となる管理ツールだ

ディスク暗号化も“当たり前の対策”にする「ESET Full Disk Encryption」

 業務PC持ち出しのリスクとして、PCの盗難や紛失を通じた業務情報の漏洩リスクも挙げられる。それを防ぐのが「データの暗号化」だ。新製品のESET Full Disk Encryption(以下、EFDE)は、PCの内蔵ディスクを丸ごと暗号化することで、こうした情報漏洩リスクを防ぐ製品である。このEFDEの特徴も見ていこう。

ESET Full Disk Encryption(EFDE)の画面(暗号化処理実行中の画面)

 EFDEは、EEPおよびESET PROTECTと組み合わせて導入し、一括管理できるディスク暗号化製品だ。米国連邦標準規格(FIPS 140-2)認定のAES 256方式によるソフトウェア暗号化、およびOPAL2.0準拠の自己暗号化ドライブに対応したハードウェア暗号化に対応しており、暗号鍵をハードウェアで保護するTPM2.0も使用できる。

 前述のとおり、多数の業務PCにインストールされたEFDEは、ESET PROTECTを通じて一元的に管理ができる。EEPとEFDEを1つのインストーラー(オールインワンインストーラー)として配布し、インストールさせることができるほか、運用時には端末ごとの暗号化状態も確認できる。EFDEがインストール済みにもかかわらず暗号化されていない端末に対して、管理者がリモートから暗号化を有効にする(強制する)操作も可能だ。テレワーク/在宅勤務においても、しっかりとPC上の情報を保護できる。

ESET PROTECTはマルウェア対策(EEP)、ディスク暗号化(EFDE)を一括で管理できる。外出先/在宅勤務中のPCであっても同様だ

 ユーザー側の使い勝手はシンプルであり、PCの起動時(プリブート段階)に認証パスワードを入力するだけでよい。認証パスワードを忘れた場合はシステムが起動できなくなるが、リモートの管理者がESET PROTECTを使ってパスワードを回復させることができる。

 ちなみに、ESETでは「ESET Endpoint Encryption(EEE)」という別のデータ暗号化製品もラインアップしているが、EFDEはPC内蔵ディスク専用の暗号化製品だ(EEEは内蔵ディスクのほか、リムーバブルメディア、ファイル単体の暗号化にも対応)。その代わり、EFDEでは製品価格がかなり安く抑えられており、管理サーバーによる一元管理にも対応しているため、多台数への導入や運用が容易だ。

 つまりEFDEは、これからはマルウェア対策(EEP)に加えてディスク暗号化も標準的なセキュリティ対策、“当たり前”のセキュリティ対策ととらえて実行してほしいという、ESETの考えを反映した製品だと言えるだろう。

エンドポイント単体で包括的な保護を実現するESET製品シリーズ

 今回紹介したEEP、EFDEに加えて、ESETでは法人向けエンドポイントセキュリティとしてEDR製品の「ESET Enterprise Inspector」、クラウド型サンドボックスの「ESET Dynamic Threat Defense」もラインアップしている。

 要件に応じてこれらの製品を組み合わせて導入し、ESET PROTECTから一元的な管理を行うことで、エンドポイント単体での包括的なセキュリティ対策を、複数ベンダーの製品を組み合わせるよりもずっと安価に実現することができるはずだ。

ESETの法人向けエンドポイントセキュリティ製品シリーズ。これらを組み合わせて導入することで、ユーザーがどこにいても包括的な保護が実現する

 テレワーク/在宅勤務が常態化していく中で、これまでのエンドポイントセキュリティ対策やセキュリティ投資のあり方に見直しを迫られている企業は多い。業務PCに“抜け”や“漏れ”のないセキュリティ対策を実現するうえで、ESETシリーズは最適な製品群と言えるのではないだろうか。

(提供:キヤノンマーケティングジャパン)