検索
連載

侵害の検出と対策をどう考えるか、Windows 10の「WDATP」Windows 10が備えるセキュリティ機能(5)(2/2 ページ)

Windows 10が備える5段階のセキュリティ対策機能を順に解説する本連載。連載第5回は侵害の検出と対策について紹介する。Microsoftが考える「Protect」「Detect」「Respond」という3つのフェーズと、Detect、Respondを担う「WDATP」について紹介する。

Share
Tweet
LINE
Hatena
前のページへ |       

Windows Defender Advanced Threat Protection(WDATP)

 マルウェアの検出を目的としたシグネチャ型のアンチマルウェア製品とは異なり、WDATPは組織のネットワークに侵入した脅威を検出し、さらに調査や対処をサポートすることを目的としている*4)

 Windows 10に実装されたエンドポイント動作センサーがシステムの情報を収集し、これをクラウドに集約し分析することで、WDATPが動作する。WDATPポータルを閲覧することで、分析結果を表示したり、アラートを確認したりすることができる。

 攻撃者が侵入に成功した場合、攻撃の記録が残るイベントログを削除する場合が多い。だが、WDATPではクラウド上にログを記録するため、HDD上のログが削除された場合でも、攻撃を追跡できる(図3)。

*4) Windows Defender Advanced Threat Protection(Windows IT Pro Center)

図3
図3 クラウドと協調動作するWDATP 中央のWDATPテナントにエンドポイント(左)の情報を集積し、脅威インテリジェンスの情報(上)と統合する。統合結果はWDAPTポータル(下)から閲覧できる

 WDATPポータル上ではセキュリティ上のアラートを分かりやすく一覧できることに加え、分析に役立つよう情報を分類して表示できる。

 図4は、WDATPポータルのダッシュボード画面だ。中央左の円グラフではアラートの重要度が色分け表示されており、アラートの数も分かる。Highが1つ、Mediumが6つ、Lowが3つだ。図5は、アラートの基となったイベントを時系列で追跡したものだ。マルウェア(バックドア)が、どのような手順で生成され、実行されたのかを示している。

図4
図4 Windows Defender ATP ポータルの画面(1)
図5
図5 Windows Defender ATP ポータルの画面(2)

 WDATPは、クラウドにデータを集約する。このため、個別のPCに対する分析だけではなく、攻撃に関連する複数のPCにまたがって分析できる(図6)。

図6
図6 複数のPCにまたがった攻撃を分析できるWindows Defender ATP

 WDATPが提供する情報は、インシデントレスポンスを迅速に実施する上で欠かせないものであり、検知と対応の初動を早めるとともに、確実な対処をサポートする。

利便性を損なうセキュリティは「穴」となる

 本連載ではWindows 10のセキュリティについて、「デバイスの保護」「脅威(攻撃)からの保護」「認証情報の保護」「情報の保護」「侵害の検出と対策」という5つのスタックを順に解説した。

 だが、触れていない課題が1つある。現在のセキュリティ対策において、PCやスマートフォンなどの「デバイスの管理」が不可欠となっていることだ。なぜデバイスの管理が重視されるのだろうか。

 標的型攻撃のようにインターネットと企業内ネットワークの境界領域を突破するケースへの対応が増えてきたこと、これが第1の理由だ。このような攻撃に対しては、各デバイスが適切に管理されており、攻撃に対する十分な対策が講じられていなければならない。さらにそれを担保しておく必要がある。

 第2の理由は、人やデバイス、データが既にイントラネットの内側に収まらなくなっていることにある。テレワークのようにオフィス外から組織のITリソースを利用するケースや、SaaSなどのオンラインサービスの利用など、イントラネットを守るだけでは、対策が不十分なのだ。

 2000年代のように、指定外のデバイスの利用をIT部門が禁止すれば済んだ時代とは違い、現在は利用者自身が容易にネットワークインフラ、ITインフラを用意できる。IT部門が提供するITの利便性が低い場合、利用者は「シャドーIT」と呼ばれるIT部門が把握できない独自のIT基盤を作ることになる。

 このため、利用者に提供する利便性とセキュリティの担保を、どのように両立をさせるのかが重要なテーマとなっている。

 Windows 10には、セキュリティを担保しながら、ITの利便性を得るための、さまざまな取り組みが含まれている。連載を通じて取り組みの内容に触れ、活用いただければ幸いである。

筆者プロフィール

高橋 正和(たかはし まさかず)

日本マイクロソフト株式会社

チーフ セキュリティ アドバイザー

1980年代初頭からミニコン、PC-98、8085、4bitマイコンなどを使った制御システムの開発などを経験。

1980年代中頃から、日本デジタル研究所株式会社で標準ライブラリの開発保守、開発環境の開発保守、独自OSからWindows NT/Windows XPへの移植、品質管理、新入社員向けのC言語の新人教育などを担当した。

標準ライブラリでは、ファイルシステムやSocketライブラリの開発と実装、保守を行い、開発環境では、68K系のCPUにWhite Sims’s Cによるリロケータブルな実行ファイル形式という特性を使って、オーバレイリンカーやオーバーレイローダーなども開発した。

1999年にISS(現在はIBM)セキュリティに関わり、2006年から現職(日本マイクロソフト株式会社 チーフセキュリティアドバイザー)を務める。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  5. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  6. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  7. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  8. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  9. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る