侵害の検出と対策をどう考えるか、Windows 10の「WDATP」：Windows 10が備えるセキュリティ機能（5）（2/2 ページ）

» 2017年09月28日 05時00分公開

[高橋正和（日本マイクロソフトチーフセキュリティアドバイザー），＠IT]

前のページへ 1|2 　　　　　　

Windows Defender Advanced Threat Protection（WDATP）

　マルウェアの検出を目的としたシグネチャ型のアンチマルウェア製品とは異なり、WDATPは組織のネットワークに侵入した脅威を検出し、さらに調査や対処をサポートすることを目的としている^＊4）。

　Windows 10に実装されたエンドポイント動作センサーがシステムの情報を収集し、これをクラウドに集約し分析することで、WDATPが動作する。WDATPポータルを閲覧することで、分析結果を表示したり、アラートを確認したりすることができる。

　攻撃者が侵入に成功した場合、攻撃の記録が残るイベントログを削除する場合が多い。だが、WDATPではクラウド上にログを記録するため、HDD上のログが削除された場合でも、攻撃を追跡できる（図3）。

＊4） Windows Defender Advanced Threat Protection（Windows IT Pro Center）

図3　クラウドと協調動作するWDATP　中央のWDATPテナントにエンドポイント（左）の情報を集積し、脅威インテリジェンスの情報（上）と統合する。統合結果はWDAPTポータル（下）から閲覧できる

　WDATPポータル上ではセキュリティ上のアラートを分かりやすく一覧できることに加え、分析に役立つよう情報を分類して表示できる。

　図4は、WDATPポータルのダッシュボード画面だ。中央左の円グラフではアラートの重要度が色分け表示されており、アラートの数も分かる。Highが1つ、Mediumが6つ、Lowが3つだ。図5は、アラートの基となったイベントを時系列で追跡したものだ。マルウェア（バックドア）が、どのような手順で生成され、実行されたのかを示している。

図4　Windows Defender ATP ポータルの画面（1）

図5　Windows Defender ATP ポータルの画面（2）

　WDATPは、クラウドにデータを集約する。このため、個別のPCに対する分析だけではなく、攻撃に関連する複数のPCにまたがって分析できる（図6）。

図6　複数のPCにまたがった攻撃を分析できるWindows Defender ATP

　WDATPが提供する情報は、インシデントレスポンスを迅速に実施する上で欠かせないものであり、検知と対応の初動を早めるとともに、確実な対処をサポートする。

利便性を損なうセキュリティは「穴」となる

　本連載ではWindows 10のセキュリティについて、「デバイスの保護」「脅威（攻撃）からの保護」「認証情報の保護」「情報の保護」「侵害の検出と対策」という5つのスタックを順に解説した。

　だが、触れていない課題が1つある。現在のセキュリティ対策において、PCやスマートフォンなどの「デバイスの管理」が不可欠となっていることだ。なぜデバイスの管理が重視されるのだろうか。

　標的型攻撃のようにインターネットと企業内ネットワークの境界領域を突破するケースへの対応が増えてきたこと、これが第1の理由だ。このような攻撃に対しては、各デバイスが適切に管理されており、攻撃に対する十分な対策が講じられていなければならない。さらにそれを担保しておく必要がある。

　第2の理由は、人やデバイス、データが既にイントラネットの内側に収まらなくなっていることにある。テレワークのようにオフィス外から組織のITリソースを利用するケースや、SaaSなどのオンラインサービスの利用など、イントラネットを守るだけでは、対策が不十分なのだ。

　2000年代のように、指定外のデバイスの利用をIT部門が禁止すれば済んだ時代とは違い、現在は利用者自身が容易にネットワークインフラ、ITインフラを用意できる。IT部門が提供するITの利便性が低い場合、利用者は「シャドーIT」と呼ばれるIT部門が把握できない独自のIT基盤を作ることになる。

　このため、利用者に提供する利便性とセキュリティの担保を、どのように両立をさせるのかが重要なテーマとなっている。

　Windows 10には、セキュリティを担保しながら、ITの利便性を得るための、さまざまな取り組みが含まれている。連載を通じて取り組みの内容に触れ、活用いただければ幸いである。

筆者プロフィール

高橋　正和（たかはし　まさかず）

日本マイクロソフト株式会社

チーフセキュリティアドバイザー

1980年代初頭からミニコン、PC-98、8085、4bitマイコンなどを使った制御システムの開発などを経験。

1980年代中頃から、日本デジタル研究所株式会社で標準ライブラリの開発保守、開発環境の開発保守、独自OSからWindows NT／Windows XPへの移植、品質管理、新入社員向けのC言語の新人教育などを担当した。

標準ライブラリでは、ファイルシステムやSocketライブラリの開発と実装、保守を行い、開発環境では、68K系のCPUにWhite Sims’s Cによるリロケータブルな実行ファイル形式という特性を使って、オーバレイリンカーやオーバーレイローダーなども開発した。

1999年にISS（現在はIBM）セキュリティに関わり、2006年から現職（日本マイクロソフト株式会社チーフセキュリティアドバイザー）を務める。

前のページへ 1|2 　　　　　　

Copyright © ITmedia, Inc. All Rights Reserved.

SpecialPR

スポンサーからのお知らせPR

SpecialPR

＠IT eBook

Pythonで日付を扱う際の「はて？」を解決する無料の電子書籍『解決！Python　日付データ編』

「このままゼロトラストへ進んでいいの？」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方／進め方が分かる無料の電子書籍

超IT用語解説漫画「食べ超」を読んで、テクノロジーの進化に思いをはせよう

先進企業はOSSにどう取り組んでいる？　OSPOとSBOMのリアルが学べる無料の電子書籍

» 一覧ページへ

注目のテーマ

AI for エンジニアリング

「サプライチェーン攻撃」対策

1P情シスのための脆弱性管理／対策の現実解

OSSのサプライチェーン管理、取るべきアクションとは

Microsoft ＆ Windows最前線2024

システム開発ノウハウ【発注ナビ】PR

編集部からのお知らせ

【無料セミナーITmedia Security Week 2024秋おすすめ講演】11/26(火)13:00～「こうしす！＠IT支線」の追い解説でおなじみ、井二かける氏の基調講演『ゼロトラストで万事解決？「信頼性ゼロ」にならないために』、12/2(月)10:00～大阪大学 D3センター教授, CISO 猪俣敦夫氏の基調講演『組織で考えるべきセキュリティ人材の育て方ーAIに振り回されない運用支援に必要なことー』

あなたにおすすめの記事PR

@ITについて

RSSについて

＠ITのRSS一覧

アイティメディアIDについて

アイティメディアIDとは

メールマガジン登録

＠ITのメールマガジンは、もちろん、すべて無料です。ぜひメールマガジンをご購読ください。

申し込みページへ

ITmediaはアイティメディア株式会社の登録商標です。

メディア一覧 | 公式SNS | 広告案内 | お問い合わせ | プライバシーポリシー | RSS | 運営会社 | 採用情報 | 推奨環境