デジタルイノベーション2019

Security

日本マイクロソフト

ビルトインセキュリティは
常に変化する脅威への最適解

常に巧妙化し続けるサイバー攻撃。これに対し、日本マイクロソフトでは、Windows 10へのビルトインセキュリティ「WaaS(Windows as a Service)」による対策アプローチを提案。Windows 10を継続的に更新していくだけで、攻撃者に先んじた万全のセキュリティ対策の実現が可能となる。

地球規模で有する圧倒的情報量を
セキュリティ対策に活かす

山本 貴之 氏
日本マイクロソフト株式会社
セキュリティ技術営業部
テクノロジーソリューションプロフェッショナル
山本 貴之

情報セキュリティを取り巻く状況は、時々刻々と変化を遂げ、攻撃者が採用する手法も常に巧妙化している。最近では、ウイルス対策ソフトによる検知をかいくぐるため、従来のファイルベースの攻撃からメモリー上のプロセスを改ざんしたり、OSのカーネルなどに備わった機能を悪用したりするなどのファイルレス攻撃へと変化してきている点もその一例だ。

日本マイクロソフトの山本貴之氏は近年のサイバー攻撃の傾向を次のように分析する。

「手法の多様化はもちろんですが、攻撃の目的自体が金銭獲得という明確な意図を持つ点も顕著な特徴です。当然、個人よりも情報の換金額や影響の大きい企業などの組織が狙われやすくなります。しかも、既知の脆弱性やマルウエアの亜種などを使って手っ取り早く攻撃が成功すれば、攻撃者の投資は少なくて済みます」

こうした状況にあって、マイクロソフトでは同社が有する地球規模の圧倒的な情報量を比類のない強みとして、「組織がデジタルトランスフォーメーション(DX)を実現するために、我々は安全な世界を作る責任がある」との考えに立脚したセキュリティ戦略を描いている。

今の時代、サイバー攻撃は攻撃者が圧倒的に有利な状況

新たな攻撃手法やインシデントが発覚するたびにその対策を検討するのではもう遅い

拡大する

 「具体的には、約10億台のPCの月次更新を行い、約4000億通のメールや約4500億件のユーザー認証を毎月分析するなど、圧倒的な規模でマルウエアやサイバー攻撃を監視しています。それらを基礎として対策ツールにおける高い検知率、機械学習やAI(人工知能)による高精度な解析の実現が可能となっているわけです」と山本氏は説明する。

WaaSによる継続的アップデートで
最新の脅威に向けた対策を常に実現

脅威に迅速に対応するセキュリティソリューションを提供するためのアプローチとしてマイクロソフトが採用しているのが、Windows 10のビルトインセキュリティ「WaaS(Windows as a Service)」だ。

Windows 10では、毎月提供される品質更新プログラムと半年ごとに提供される機能更新プログラムにより、継続的なアップデートが図られている。セキュリティに関しても更新を繰り返す中で、未知の脅威に対抗していくという戦略が取られている。山本氏は、「Windows 10を継続更新していくだけで、セキュリティ環境を改善し、攻撃に対する先回り対策が可能となります」と説明する。

そして、こうしたマイクロソフトにおけるセキュリティ対策を端的な形で具現化しているのが「Office 365」「Enterprise Mobility + Security(EMS)」、そして「Windows 10 Enterprise」をパッケージングした「Microsoft 365」だ。

セキュリティ機能としては、Office 365に含まれるクラウドサンドボックスやWebプロキシ型のURLチェック機構、標的型メール攻撃訓練の機能に加え、EMSに包含されるAzure Active Directoryを核とする機械学習を利用したID保護やデバイス管理、CASBやシャドーITの検知といった仕組み、そしてWindows 10 Enterpriseで標準提供されるMicrosoft Defender ATPがそれぞれプラットフォームに組み込まれている。

プラットフォームに「ビルトイン」されている最新のセキュリティ機能の徹底活用がポイント

Windows 10では、継続的更新とビルトインのセキュリティ機能により、攻撃者を先回りした対策が可能になる

拡大する

注目すべきは、Windows Defenderが決してウイルス対策に特化したソリューションではないという点だ。例えば、高度な機械学習モデルとクラウド型保護機能により、マルウエアの亜種や未知マルウエアをヒューリスティックに検出可能な「Windows Defender ウイルス対策」をはじめ、OSおよびアプリケーションの脆弱性を緩和するホスト型のIDS/IPS機能やパターンマッチング技術に依存しないふるまい検知機能を備える「Windows Defender Exploit Guard」、仮想化技術を利用してブラウザーをコンテナ化することによりホストOSへの脅威や侵害を防ぐ「Windows Defender Application Guard」など、多彩な機能が利用可能となっている。

山本氏は、「セキュリティベンダーに提案依頼を行う前に、既存資産としてお持ちのWindows 10に標準搭載されているWindows Defenderが装備するこれらの機能を、ぜひ改めてご確認いただければと思います」と語る。

企業の目的はあくまでビジネスの加速
セキュリティは専門家に任せる時代へ

さらに、Windows 10 Enterpriseの最上位エディションとなる「E5」において提供されるクラウドベースのEDRソリューション「Microsoft Defender ATP」では、OSに組み込まれたセンサーによって、セキュリティイベントやエンドポイントの挙動をログとして詳細に記録する。それらをクラウド側のセキュリティ分析サービスによって、マイクロソフトが広範なエンドポイントから収集したデータと組み合わせて解析することで、異常な挙動を検出して既知の攻撃との類似点を特定。ダッシュボードを通じてエンドポイントから遡る形で、異常挙動の根本原因を探り、その再発防止に向けた検討を行うことが可能となっている。Windows Defenderによる検知情報もあわせて管理し分析できるため、痕跡調査からインシデントレスポンス、フォレンジック調査などで大きな威力を発揮する。

加えて、Threat & Vulnerability Management機能を利用することで、端末上のソフトウエアインベントリを収集するだけでなく、各ソフトウエアにおける脆弱性情報について優先度付けした形で情報が提供され、推奨される対処方法が表示されるため、脆弱性管理の側面でも活用することが可能だ。Microsoft Cloud App Securityと連携することでユーザーの利用しているシャドーITサービスまで可視化・制御することも可能になる。

それでは、Microsoft Defender ATPを活用することで、どのようなことが可能になるだろうか。例えば、あるユーザーが、業務の必要からWebサイトを閲覧していて悪意あるターゲット広告のバナーをクリックし、利用しているPCへの脅威の侵入を許してしまったとする。これに対しDefender ATPは、即座に脅威の侵入を検知し、その種類を識別。当該デバイスのリスクレベルを「高」に設定し、同時に復旧に向けた修正プロセスを自動的に開始する。この段階でユーザーは攻撃を受けた事実に気づくことなく、引き続きPC上での作業を継続できる。ただし、修正プロセスの処理中は、仮に上司からのメールが届いても添付された機密文書を開くことができないなど、Defender ATPによって機密情報へのアクセスが完全にブロックされた状態となる。「これらは、ユーザーにとって透過的に、脅威の検知と復旧、そして機密情報に対するアクセスの制御がDefender ATPにより自動実行される仕組みです」と山本氏は解説し、同社のセキュリティに対する考えを次のように語る。

「企業の目的はあくまで従業員の生産性を高めてビジネスを加速させることです。セキュリティはそのスピードを緩めないようユーザーに透過的に提供されるべきもの。それこそが、プラットフォーマーたるマイクロソフトのセキュリティ戦略です。ぜひ、セキュリティもマイクロソフトにお任せください」

なお、Microsoft Defender ATPに関して、マイクロソフトでは無償トライアル版を用意している。ぜひ、その実力のほどを実地に体感してみることをおすすめしたい。

お問い合わせ

日本マイクロソフト株式会社
URL/https://www.microsoft.com/ja-jp
TEL/03-4332-5300