ラックは12月14日、マイクロソフトがWindows 10に搭載しているセキュリティ機能「Windows Defender ATP」を介して、クライアントPCの監視・管理・調査を行う「マネージドEDRサービス for Windows Defender ATP」を発表した。
初めに、常務執行役員 事業企画部 部長の山中茂生氏が、同社のSOC(Security Operation Center)ビジネスの変革と新サービスの関連性について説明した。
SOCビジネスは当初、不正アクセスに対する監視分析の必要性から需要があったが、その後、不正アクセス攻撃の高度化、高度なマルウェア対策・標的型攻撃への対策が求められるようになり、今ではクラウド時代に求められるセキュリティ対策が求められているという。
この変革を同社が提供しているセキュリティ監視・運用サービス「JSOC」に当てはめてみると、最初は、ファイアウォールやIDSといったネットワークのゲートウェイセキュリティ製品を提供、その後、オリジナルシグネチャの開発運用を行う第2世代のゲートウェイセキュリティ製品、次世代ファイアウォールなどを提供する第3世代のゲートウェイセキュリティ製品を提供し、今は、「JSOC 4.0」として、アライアンスパートナーが変化してきているという。
山中氏は、こうした時代の要請を受けて、同社のビジネスにマイクロソフトのEDR(Endpoint Detection and Response)サービス「Windows Defender ATP」に関連したサービスが加わったと述べた。
新サービスについては、サイバー救急センター センター長の内田法道氏が説明した。
内田氏は、今回エンドポイントを保護するサービスを提供する背景として、2015年から現在にわたり、サイバー救急センターが相談を受けたインシデントの半数をマルウェア感染が占めていることを挙げた。
そして、エンドポイントセキュリティには「旧来型のパターンマッチングによる脅威対策は効果が限定的になりつつある」「パターンマッチングによる製品を保管するため、複数のセキュリティ製品を1台のPCに導入すると、費用と運用上の負担が重くなる」という課題があることを指摘した。
さらに、内田氏は「いろいろな顧客を調査しているが、AIを採用しているとされる製品を導入していても、思ったより効果がないという印象を受ける」と語った。
新サービスでは、「Windows Defender ATP」が発するアラートをラックのJSOCが24時間体制で監視する。深刻な被害が懸念される場合は、即座に感染したパソコンを隔離し、サイバー救急センター所属の専門家が脅威を分析して影響の範囲や拡大の可能性などを診断し、企業にその情報を提供する。
オプションとして、事態が深刻でさらなる調査が必要となった場合は、被害企業に専門家を派遣し、インシデント対応の支援をすることも可能だ。
説明会には、日本マイクロソフトからWindows & デバイスビジネス本部 エグゼクティブ プロダクトマネージャーの石田圭志氏が参加し、マイクロソフト製品のセキュリティ対策について説明した。
石田氏は、毎月同社のソフトウェアを導入している10億台デバイスが更新を適用しており、それら大規模なユーザーベースをさまざまな分析を行い、知見を蓄積していると述べた。
また、Windows 10においては、多層防御に基づくセキュリティ機能が装備されており、「Windows Defender ATP」の特徴としては「Windows 10に組み込まれている」「エージェントが不要」「半年ごとにアップデートされる」ことが挙げられた。
石田氏は、「Windows Defender ATPは顧客から多くの需要があるが、その一方で、『どうやって使えばいいのか』という問い合わせを大企業からも受ける」と語り、ラックの新サービスがそうしたWindows Defender ATPのユーザーの利便性を高めることに役立つことを示した。
同サービスを利用するにあたっては、監視対象の機器でWindows 10 Enterprise E5が稼働している必要がある。対象機器の台数が3000台の場合の料金は、月額費用が180万円となる(初期費用は個別見積り)。最低契約期間は12カ月。