第12章 エンドポイント エンドポイント

エンドポイント（デスクトップ、ノートPC、タブレット、携帯電話など、エンドユーザが演算子として使用するデバイス）は、ネットワークを侵害しようとする悪意のある個人にとって、ますます人気のターゲットになりつつある。モバイル化が進み、ストレージの価格（）が急速に下落する中、エンドポイントにストアされるデータ量や、エンドポイントがアクセスするリポジトリ（共有ドライブなど）を介してエンドポイントが利用できるデータ量は、日増しに膨大になっている。

少なくともセキュリティの観点からは）このようなデータの可用性向上に対する直感に反するレスポンスに見えるかもしれないが、データへのアクセスは、組織の生産性やアジリティを高めるという名目で、ますます摩擦の少ないものにしたいという要求が高まっている。

もちろんエンドポイントは、ウェブ閲覧、インスタント・メッセージ、電子メールの読み取り、その時々に魅力的に見えるランダムなリンクや添付ファイルのクリックなど、ほとんどの人が活動を行う場所でもある。エンドポイントを攻撃するために利用可能なベクターの数は多く、企業ネットワークは、セキュリティが必ずしも最優先事項ではないターゲットで溢れている。

こうしたことから、エンドポイントがマルウェアやランサムウェアに狙われるだけでなく、より的確なスピアフィッシングやハッキング・キャンペーンに狙われるケースも増えている。この章では、エンドポイントが侵害される可能性を大幅に低減し、万が一侵害された場合でも組織への影響を最小限に抑えるために、ほとんどのエンドポイントデバイスで実施できる対策を探る。

最新情報を保つ

サーバと同様、エンドポイントにパッチを確実にインストールすることは、1つのシステム上に存在するバグ、ひいては脆弱性の数を制限する上で極めて重要である。エンドポイント上の脆弱性（）を最小限に抑えることで、攻撃者に開かれたテクノロジーベースの選択肢の数を減らし、特定のタイプのマルウェアによる自動的な攻撃を受けやすくすることができる。

パッチのメソッドは、プラットフォームによって異なる。BYODシステムによるデバイスの選択と管理を行う組織と、雇用主がデバイスを提供し、そのハードウェア、オペレーティングシステム、および多くの場合アプリケーションを管理する、より伝統的なセットアップでは、プロセスはまったく異なるかもしれない。

マイクロソフト ウィンドウズ

Windows 95の発売以来、マイクロソフトはWindows Updateサービスを提供してきた。Windows Updateサービスは、 、さまざまな変身を遂げてきたが、最終的には半自動化された方法でエンドポイントにパッチを配布するという目的を果たしている。このサービスによって、Microsoft Windowsを実行しているデスクトップPCは、どのバージョンの演算子が実行されているかに基づいて、アップデートやパッチをダウンロードできるようになる。しかし、このサービスは主にコンシューマやBYOD市場を対象としており、かなりセルフサービス的で、ユーザには更新を拒否したり延期したりする機会が提供され、システム管理者には各種パッチのデプロイ状況に関する可視性は提供されない。

Microsoftは過去に、システム管理サーバー（SMS）、Microsoft Operations ...