Microsoft、「Microsoft Defender ATP」の「脅威および脆弱性管理」機能を正式リリース：企業での脆弱性対策に有用

Microsoftは、「Microsoft Defender Advanced Threat Protection（ATP）」の「脅威および脆弱性管理」機能の一般提供を開始した。企業におけるエンドポイントの脆弱（ぜいじゃく）性管理を容易にするという。

[＠IT]

　Microsoftは2019年7月2日（米国時間）、「Microsoft Defender Advanced Threat Protection（ATP）」のポータル内で管理する「脅威および脆弱性管理（TVM：Threat＆Vulnerability Management）」機能の一般提供を6月30日付で開始したと発表した。

脅威および脆弱性管理（TVM）機能の管理画面（出典：Microsoft）

　TVM機能は、企業や組織のセキュリティチームの運用を助けるもの。リスクベースのアプローチでエンドポイントの脆弱性や構成ミスを発見し、優先順位を付けて修復できるよう支援する。この機能を利用することで、次のような改善が可能になる。

• 脆弱性や構成ミスを継続的に発見する
• ビジネスコンテキストや変化する脅威の状況に応じて、脆弱性や構成ミスの修復の優先順位を設定する。優先順位の判断では、Microsoft Defender ATPから受信するシグナルを考慮し、脅威や脆弱性のリスクレベルを評価する
• 脆弱性とEDR（Endpoint Detection and Response）アラートを相関させることで、侵害に関する洞察を導き出す
• マシンの脆弱性のコンテキストを踏まえてインシデント調査を行う
• 「Microsoft Intune」「Microsoft System Center Configuration Manager」との統合機能を利用して、セキュリティチームと運用チームが効率良く連携して修復を行う

従来の手法にはどのような課題があったのか

　Microsoftによると、従来の脆弱性スキャンソリューションには課題があったという。

　従来の手法では、定期的なスキャンに限られていたため、スキャンとスキャンの間は、脆弱性状況が分からなかった。さらに、重要なビジネスコンテキストや変化する脅威状況を無視した一律のアプローチにとどまっていた。しかも、脆弱性に手動で対応しており、対応が完了するまでに数日、数週間、数カ月かかることもあった。いずれも、サイバー攻撃の機会を与えてしまっており、セキュリティチームには対応が難しかったと、Microsoftは指摘している。

　こうした問題に対処するため、Microsoftは十数社のユーザー企業と1年以上にわたって協力し、TVM機能を設計、開発した。TVM機能を実装、改善する過程で、こうしたパートナーが果たした役割は大きいという。

　例えばエンドツーエンドのIoTソリューションを提供する英Telit Communicationsだ。同社は明確に定義された脆弱性管理プログラムを運用していたものの、可視性や優先順位付け、修復など、幾つかの重要な機能が欠けていたという。さらにオンプレミスで接続されたエンドポイントのみを対象としていた。Telit CommunicationsのIT／情報セキュリティ担当のバイスプレジデントであるItzik Menashe氏によれば、TVMを採用することでエンドポイントが信頼できないネットワークに接続されている場合でも継続的な評価によって移動するエンドポイントをより明確に把握できるようになるという。

　Microsoftが協力した企業のほとんどは既存の脆弱性管理プログラムを使用していたため、TVMに移行させるには、脆弱性管理に対する破壊的なアプローチが必要であると分かっていた。TVMのプライベートプレビューから一般公開に至るまで、Microsoftの主な目標は、脅威保護におけるセキュリティと、ITとの間のギャップを埋め、脅威の解決までの時間を短縮しながら、変化する脅威の状況とビジネスコンテキストに基づいてリアルタイムの優先順位付けとリスク削減を可能にすることだった。同社は今後も顧客やパートナーベンダーからのフィードバックを取り入れ、TVM機能を拡充していく方針だ。