全5122文字
PR

EDRは他の対策と組み合わせると、大きな相乗効果が得られる。端末の設定を一元管理するモバイルデバイス管理(MDM)がその1つ。クラウドで通信を防御するセキュアWebゲートウエイ(SWG)も有効だ。

 EDR単体でも高度なサイバー攻撃対策は可能だが、他の対策を組み合わせるとセキュリティーをより強固に防御できるだけでなく、エンドユーザーの利便性も向上できる。EDRの心強い相棒を2つ紹介しよう。

図 EDRを補完するクライアントセキュリティー対策
図 EDRを補完するクライアントセキュリティー対策
三位一体で守る
[画像のクリックで拡大表示]

クラウド移行を機にEDR導入

 ファッション通販サイト「ZOZOTOWN(ゾゾタウン)」を運営するZOZOは2019年夏から2020年1月にかけて、EDRに加えてモバイルデバイス管理(MDM)を全社的に導入した。

 ZOZOは近年、オンプレミスで稼働してきた社内業務システムを段階的にクラウドに移行すると共に、SaaS(ソフトウエア・アズ・ア・サービス)も導入してきた。その上で2019年夏、まずIT子会社のZOZOテクノロジーズにおいて「従業員が自宅や社外からいつでも業務システムにアクセスできるリモートワーク環境を整えた」と、同社コーポレートエンジニアリング部の荻原直也氏部長は話す。

 しかしこうした施策を導入するに当たって「社内ネットワークの防御を重視する既存のセキュリティー対策を抜本的に変える必要があった」(荻原部長)ともいう。

 ZOZOは従来、「境界防御」と呼ばれる一般的なセキュリティー対策を採用していた。社内ネットワークとインターネットの境界にファイアウオールを設置し、社内と社外の間の通信を制限することでサイバー攻撃を跳ね返す。それでもマルウエアなどが社内侵入したら、PCに組み込んだウイルス対策ソフトでブロックする――、といった対策だ。

 しかし、新たに構築した情報システムに対して境界防御の効力が及ばないのは明らかだった。守るべきデータやアプリの多くがクラウドに移り、従業員もインターネット経由でそれらにアクセスするなど、社内ネットワークを介さない使い方が大半だからだ。「もし既存の対策だけに頼っていたら、十分なセキュリティーを確保できなかっただろう」。ZOZOテクノロジーズの荻原部長は振り返る。

 そこでZOZOテクノロジーズは秘策を講じた。「誰が、どの端末から情報システムを利用するのか」を可視化する新たなセキュリティー対策を一気に導入したのだ。

端末の利用をきめ細かく制御

 実際の対策の中身はこうだ。まずMicrosoft 365の最上位ライセンスである「E5」を契約。E5に含まれるEDRの「Microsoft Defender Advanced Threat Protection(ATP)」を使い、社内の全端末を保護することにした。攻撃のリスクを可視化し、いざ被害が出ても即座に対応できる態勢を整えるためだ。

 ZOZOが使用する業務用パソコンは約3000台。Windowsが大半だが、エンジニアやデザイナーなどを中心に従業員の約1割がMacを使う。リモートワークに対応するため、スマートフォンや自宅パソコンからもクラウドを利用する。こうしたデバイスを管理するために、マイクロソフトが提供するクラウド型のIT資産管理やモバイルデバイス管理(MDM)のツールである「Microsoft Intune」も導入した。端末の利用はIntuneによって、アプリケーション単位で細かく制御する。

 さらに、先行して導入していたアイデンティティー&アクセス管理(IAM)の「Azure Active Directory(AD)Premium」とIntuneを連携させた。Azure ADはユーザーのアカウント管理機能をクラウド上で提供するサービス。連携の狙いはAzure ADに登録された従業員情報を取り込み、ユーザーのアカウント単位で複数の端末を管理することだ。

 情報システムの利用を許可するかどうかをアカウントやネットワーク、端末の種類によって変える「条件付きアクセス制御」も取り入れた。例えば端末上でDefender ATPを起動していないなどのセキュリティー要件を満たしていない場合は、情報システムにアクセスできないようにしている。

 このように端末に対して複数のセキュリティー対策を講じたZOZOテクノロジーズ。背景には「クラウドの業務利用を進めるのは、従業員の働き方を多様化することで組織の生産性を高めるため。だからこそ不便なシステムにするわけにはいかない」(荻原部長)との考えがある。EDRをはじめクラウドベースの対策を組み合わせれば、安全性と利便性は両立できる――。それがZOZOテクノロジーズ流のエンドポイントセキュリティーだ。