Endpoint Priviledge Managerは導入した端末の権限昇格を防止する機能を有します。つまり、悪意ある攻撃者が重要情報やミッションクリティカルなサーバに辿り着く手段として使われる手法を機能として封じ込めることにより、不正侵入やランサムウェアによる攻撃に対して絶大な効果を発揮します。これにより権限昇格による水平移動、垂直移動や攻撃用ツールの導入を防ぐことができるため、例え端末経由で侵入されたとしても攻撃者は有効な施策を打つことができず、報道されるような大きな被害の発生を防ぐことが可能となります。

コロナ禍におけるリモートワークの推進が社会に浸透してしばらく経ちますが、テレワークは導入の段階を通過し、今後は先進技術を利用したより業務効率の高い形態が求められています。また、多様な働き方の許容が求められ、それに合わせてセキュリティ対策も合わせていく必要があります。 従来のエンドポイント用アンチウイルス製品の導入に加え、昨今ではEDRを導入することによってウイルスのみならずウイルスによらない攻撃を検知・防御する仕組みも普及しつつあります。しかし標的型攻撃などにより正規のID・パスワードを窃取された場合ふるまい検知でも防ぐことはできません。そのため、ローカル端末における特権利用についても管理を行き届かせていく必要があります。

EPMはまさにこのような需要に応えるために開発された製品です。ローカル端末の管理者権限を管理下に置き、特権がどのように利用されているかを把握し、特権昇格を制御することによって正規のID・パスワードを窃取した攻撃からも組織を保護します。

システム管理操作や特権を必要とするアプリケーションをイベントとして検知し、特権の使われ方を把握します。更にアカウントの特権の昇格を制御し、安全な利用と判断されたケースに対して一時的な特権昇格を承認するなど、組織内の特権利用をユーザー単位で管理します。

1. 最小特権

(1) 特権管理

• 1) ローカル特権アカウントの削除
• 2) Windows管理者への粒度の細かい最小特権ポリシーの適用
• 3) 必要に応じたユーザー権限の昇格
• 4) 既存のエンドポイントセキュリティの保護および検出機能の強化

(2) アプリケーションコントロール

• 1) ランサムウェアなどのマルウェア導入のブロック
• 2) 承認されたアプリケーションのみ実行許可
• 3) 不明なアプリケーションの「制限付きモード」による実行(企業リソース、機密データ、またはインターネットアクセスの制限)

(3) 承認された期間のみのアクセス許可と権限昇格

• 1) 申請ベースによる事前定義された期間のみ権限昇格を可能とし、特定のアクセスのみ許可することができる

2. 特権保護

(1) クレデンシャルの盗難防止

• 1) Windowsクレデンシャル、Webブラウザ、ファイルキャッシュクレデンシャルストアに保存されている盗難の試みの検知とブロック

(2) ランサムウェア対策

• 1) ランサムウェアの検知と対応

(3) 特権欺瞞(Privilege Deception)　：　おとりアカウントによる攻撃検知

• 1) 攻撃パスにおとりアカウントを配置することによる進行中の攻撃の検知と対応

3. 可視化

(1) モニタリング

• 1) 検知した特権利用の一覧表示
• 2) 特権により実行したアプリケーションの一覧表示
• 3) 実行したアプリケーションの詳細、ファイルの相関関係の表示