組織内のセキュリティの対策状況や、発生している脅威の状態を把握することは当たり前の時代となりました。しかし、さらに外に目を向け、世界中で起きている脅威の状況を知り、事前に対策できれば……と考えている管理者の方も多いのではないでしょうか。
とはいえ一般的な脅威情報を収集し、数多の情報の中から重要なものを選別して適切な対策を取ることは専門的な知識も必要です。特に専門チームを構える余裕のないIT管理組織にとっては、非現実的なアプローチにも思えます。
リリースされたばかりの「Office 365 Threat Intelligence」
こうした悩みを解決するために、4月5日に新機能「Office 365 Threat Intelligence」がリリースされました。これは、Office 365の自組織のテナント内における脅威状況はもちろんのこと、Office 365上ワールドワイドで発生している脅威を知って自組織と比較できるほか、世界で起きている脅威に対して事前に備えることができます。
Threat Intelligenceでは、Office 365 に備わっているExchange Online ProtectionやATPの機能と連携。メールやドキュメントなどに入り込んでいるマルウェアの情報や攻撃手法などを分析し、ターゲットとなっているユーザーや、多く確認されているマルウェアや攻撃の状況をダッシュボードで図示し、解決に向けたガイダンスを提供します。
例えば「どのようなマルウェアが多くメールに添付されているか」「どのユーザーが多くマルウェアを受信しているか」「攻撃元の発信地はどこか」「Exchange Online ProtectionやATPといったセキュリティ機能で脅威は正常に排除されているか」などが確認できるようになります。
これらの項目は自組織だけではなく、Office 365全体の統計を確認できることが重要なポイントです。新たに発生している攻撃キャンペーンの情報を知ることで、自組織に対する影響を事前に調査し、必要に応じて対策を講じることが可能になるのです。
さらに、自テナントで発生している脅威の詳細な分析を「Threat Explorer」から確認できます。ダッシュボードは全体的なリスクや世界の傾向を大まかに把握するのに役立つ一方、Threat Explorerは実際に発生している脅威を、より詳細に調べて対策へと結びつけることが容易になります。攻撃情報を、IPやドメインなどのフィルターを通して詳細に分析できるほか、すでに他社で起きたインシデントの類似性や、対策ガイダンスなどを確認できます。
一般的に、攻撃を行う側は攻撃対象となる組織を事前に調査して攻撃手法を選別しており、周到に準備している様子が伺えます。これに対して防御側は、専門の知識を持たないIT部門が多く、実際の被害が露見してからリアクティブに現象へ対処しており、”事後対応”に終始してしまうことが多いという現状があります。
攻撃者のタイプや標的、攻撃の頻度といった分析まで手が回らず、類似の事例がすでにほかの企業や地域で発生していたとしても、十分な事前の対応が取れないという悩みの声を耳にします。Threat Intelligenceを活用して自組織のみならず、Office 365全体で発生している脅威の知見を得ることで、攻撃に備えるための知識を得て、対策の準備の一助としてください。