Azure ADを核としたEDRソリューションを構築
多くの企業ユーザーはWindows 10 Enterpriseエディションを利用しているが、E5であればMicrosoftのEDR(Endpoint Detection and Response)製品であるWindows Defender ATP(Advanced Threat Protection)の利用が可能だ。同社はEnterpriseエディションの強みを「セキュリティ」と述べ、安全かつ円滑にビジネスを進める上で欠かせないプラットフォームだと説明してきた。前述した大田氏もITの近代化を提唱していたが、「Windows Security ROADMAP」セッションに登壇した山本氏も、「Azure AD(Active Directory)を中核にセキュリティ強化を施すのが我々の目指す方向性」(日本マイクロソフト クラウド&ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部 山本築氏)と語る。
-
日本マイクロソフト クラウド&ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部 山本築氏
山本氏は顧客から「Windows Defenderって大丈夫?」と問われることが多いという。その1例として示したのが、Windows 10 バージョン1703から実装したWindows Defender Cloud Protection。新規ファイルの実行時にファイルクエリをThreat Intelligenceと呼ばれるクラウド上のサーバーに送信し、未知のファイルであればサンプル送信のリクエストをクライアントへ返す。サンプルファイルをクラウド上のサンドボックスでマルウェアチェックし、その結果を元にThreat Intelligenceは定義ファイルを更新してクライアントへ送信。ファイルブロック情報はすべてのユーザーに反映する。「ものの10秒程度で処理が終わるため、他のユーザーは保護される」(山本氏)。また、クライアント側もWindows Defender Client ML(Machine Learning)を実装することで、マクロやスクリプト、移植可能な実行フィアルに対する機械学習でマルウェアからPCを保護する機能が加わったという。
-
Cyber Kill Chain(標的型攻撃における攻撃者の行動)に対する各対策ソリューション
よくある話として山本氏が例を挙げたのが、「セキュリティ製品の購入を上申すると、『なぜ毎年セキュリティの追加予算が必要なんだ』と言われる」というケース。社内に保護ソリューションを導入しても、検知数やすり抜けた数を可視化しないと、その効果が見えないからだと同氏は説明する。Windows Defender ATPの場合、ログはクラウド上にアップするため、サイバー攻撃者がログの改竄を行うようなマルウェアに対しても可視性を担保できるという。今回のユーザーイベントは公開NGの話も多く、本稿でも紹介できないが、個人的には是非公にしたい内容ばかりだった。情シスを対象にしたイベントの次回開催は未定だが、社内IT環境の見直しを求められている情シス担当者なら参加してみてはいかがだろうか。
航空機の技術とメカニズムの裏側 第464回 最近の時事ネタ(17)Open Fanとデジタル・エンジニアリング
