エンドポイントは、企業の機密データが最も攻撃を受けやすい場所であると言えます。悪意のある攻撃者に脆弱性が悪用されると、ネットワークへの侵入や、データの窃取、あるいはマルウェアの拡散につながるからです。データ、アプリケーション、システムをサイバー脅威から保護するためには、エンドポイントセキュリティが間違いなく不可欠です。
しかし、エンドポイントセキュリティは過去 5 年間で大きく進化しています。サイバーセキュリティ業界はオンプレミスでの予防中心型の戦略からスタートし、このアプローチは数十年にわたって主流となってきましたが、セキュリティチームは次第に、検知そのものと同じくらい可視性が重要であることに気づき始めました。このイデオロギーの転換により、EDR(エンドポイント検知/対処)の時代が到来し、エンドポイントのデータと可視性という観点からセキュリティが再定義されることになりました。検知率が 99.8% なのか 99.9% なのかで議論する日々は終わり、エンドポイントの情報をできる限り収集するために時間が費やされるようになったのです。
この新しく膨大なデータを管理するために、各種のセキュリティソリューションは、セキュリティチームに最も役立つ形ですべてのデータを保管して処理すべく、クラウドに目を向けました。主要なセキュリティ企業各社においては、大量のエンドポイントデータを処理して異常を特定し、組織の内部で活動している攻撃者を見つけ出すことが重要な業務となりました。脅威ハンティングと侵害の封じ込めこそが、セキュリティの新たな要となりました。つまり、サイバーセキュリティの世界はこのころから、攻撃者を門前で阻止するのではなく、攻撃者がすでに内部に侵入していると想定するようになったのです。
データの収集と分析に対応するため、各種のセキュリティツールは「クラウド活用型」から「クラウド依存型」へと急速に移行しました。この変化により、検知率は徐々に低下していき、トップクラスの予防ツールと「十分な」レベルの予防ツールとの違いは、もはやコンマ何パーセントという単位ではなく、検知率そのもののポイント単位で測られるようになりました。
その結果、興味深い、そして今から思えば予測できた事態が発生しました。攻撃者が巧妙な攻撃、すなわち APT(持続的標的型攻撃)のアプローチから、無遠慮に相手を狙う「スマッシュ・アンド・グラブ」の考え方に切り替えたのです。攻撃者たちは、企業の防御に存在する小さな弱点を突いて収益を生み出そうと、迅速に行動しました。ランサムウェアの台頭が、この新たな戦略をはっきりと浮き彫りにしています。そこそこの保護を実現するためにさえ、常時接続かつクラウド依存型のインターネット接続に頼っている現状も踏まえると、組織はセキュリティ戦略の方向性を見直す準備をする必要があります。