よくわかるMSクラウドサービスコラム第5回「次世代のセキュリティ対策とは?」
目次
はじめに
突然ですが、「皆さんの会社のPCは、どのようなセキュリティ対策が行われていますか?」
こんな問いに対して、「え?今更そんなこと聞くの?」とか「ちゃんとウィルス対策ソフトが各PCにインストールされていますよ。」という回答の方も多いと思います。
「ウィルスに感染してパソコンが動かなくなりデータがなくなった」、「メールソフトウェアに登録されているアドレス宛にメールが勝手に送られて迷惑をかけた」などというウィルスに関する被害を経験された方も多いと思いますので、今となってはウィルス対策のソフトをインストールすることは、以前に比べると当たり前の状況になっているかと思います。
しかし、近年では悪意のある攻撃の種類も増え、方法も非常に巧妙になっています。
各個人が注意して、「怪しいメールのURLを開かない」、「変なページを検索したり表示したりしない」という対策をとるのはもちろん基本的なことなのですが、それだけでは防ぎきれないパターンが増えてきている事は、皆さまの経験上からも感じ取られているかと思います。
つい最近も、ウィルスの感染によるランサムウェアにより甚大な被害を受けたり、個人情報が流出したりするといった事件がありました。
被害を受けた組織が、どのようなセキュリティ対策をとっていたか等の詳細はわかりませんが、感染の経路はメールやUSBドライブ、あるいはネットワーク経由などと言われています。
ここで大事なのが、個人で気を付けていても限界があり、こういった攻撃を受けてしまうことはあり得るということです。そのため「個人が気を付けましょう」、という体制ではなく、きちんと管理者側で監視・管理をするということが重要ではないでしょうか?
そうすることで、万一ウィルスに感染してしまっても、早い段階で気づくことができ、被害を最小限に食い止めることができるかもしれません。また感染元のファイルなどを即時に取り除くなどの対策をとる事もできるでしょう。
これこそが、これからの求められるセキュリティ対策といえるのだと思います。
求められる対策とは?
では、具体的にどのような対策が考えられるのでしょうか?
従来は、ウィルス対策・マルウェア対策が一般的でしたが、近年では「EDR(Endpoint Detection and Response)」や「XDR(Extended Detection and Response)」という考え方が広がっています。
「EDR」とは組織内にある端末を監視し、ログデータを収集します。それを解析し不審な挙動や攻撃を検知し、管理者に通知する機能です。その通知を受けた管理者は遠隔からでも各端末の対処をすることや、自動で復旧をさせることも可能になります。
「XDR」とは「EDR」の考え方にプラスし、各端末・サーバー・ネットワークなど複数のセキュリティレイヤーなど包括的な監視、検知、その後の迅速な対応を可能にできる考え方になります。
「EDR」・「XDR」に対応しているソリューション
「EDR」ソリューションの代名詞とも言えるCybereason(サイバーリーズン)社や、CrowdStrike(クラウドストライク)社をはじめ、最近ではウィルス対策ソフトでよく知られるトレンドマイクロ、マカフィーといった会社でも「EDR」に対応したセキュリティソリューションを提供しています。
その中でも今回特に注目して取り上げたいのが、マイクロソフト社が提供する、「Microsoft Defender for Endpoint」というソリューションです。
このソリューションは、Gartner®社の Magic Quadrant™(マジック・クアドラント) においてもリーダーと位置づけられ、総合的に高い評価を受けています。
「Microsoft Defender」と「Microsoft Defender for Endpoint」の違い
そもそもWindowsでのセキュリティソフトと聞いて、「自分のパソコンにはセキュリティソフトが標準で入っているよ」という人もいると思います。
確かにWindowsには標準で「Microsoft セキュリティ」というセキュリティ対策の設定ができるような機能を備えており、「Microsoft Defender」がその中核を構成しています。この設定をすることで、個人レベルでの各端末のセキュリティ対策としては十分に機能が発揮されています。
また法人の場合で集中管理をしたい場合には、「Microsoft Intune」を利用することで各端末の設定状況の管理やウィルススキャンの手動実行などを行う事ができます。
「Windows セキュリティ」設定画面
それならば、やはりWindowsの標準機能で十分ではないか?と思われるかもしれません。しかし、先進の機能やより細かな対策、そして何よりも「EDR」の機能が実装されているのは「Microsoft Defender for Endpoint」となります。ここではその特徴を4つほどご紹介させていただきます。
- 脆弱性や構成誤りをリアルタイムで検出
脆弱性と構成誤りの評価を継続的に、リアルタイムで行うことで、常に最適な環境に整えることができます。 - アラートから修復までを自動化し、大規模でも短時間で完了
リアルタイムに監視し、何かを検知した場合はアラートを出します。検知後には自動でその内容に応じた分析・調査を即時に行い、修復を試みます。 - 巧妙化した脅威やマルウェアを阻止
まだ検知例のないポリモーフィック型やメタモーフィック型といったマルウェアや、ファイルレスとファイルベースの脅威に対して、次世代型の保護機能で防御します。 - マルチプラットフォームソリューション
Windows OSの保護だけではなく、MacやiPhone、Androidのプラットフォーム保護も可能です。ユーザーライセンスのため、PCとスマートフォンの複数台持ちが当たり前の時代においても、デバイス数でカウントする必要が無いのも魅力です。
上記に挙げたものはほんの一部にしかすぎませんが、非常に広範に及ぶ、きめ細かい対策がプラットフォームを横断して一元的に行うことができるというのを感じていただけたのではないでしょうか?
これがまさしく「EDR」のみならず、「XDR」という考え方に沿ったセキュリティ対策と言えるのです。
「Microsoft Defender for Endpoint」の魅力
「EDR」としての魅力や性能の一部を挙げさせて頂きましたが、これらは先に挙げたメーカーにおいても様々なアドバンテージやポイントが存在しているかと思います。そのため、全てにおいて他のソリューションよりマイクロソフトが優れているということはなく、それぞれのソリューションにそれぞれの優位点が存在します(今回は性能面の比較考察は割愛いたします)。
そのような状況において、「Microsoft Defender for Endpoint」 の魅力は、「EDR」性能面以外でも強く感じられる事があります。それは「連携」です。
特に今日の脅威に対応するセキュリティソリューションは、先にもお伝えしたとおりメールやUSB、ネットワークなどを媒介として、脆弱性のあるシステムやデバイスが被害を受けるため、PCなど単独の機器上のみならず、様々な機器の状況を把握し総合的に対応する必要があります。
「Microsoft Defender for Endpoint」は、前回までにご紹介してきた条件付きアクセスや「Microsoft Intune」とのシームレスな連携により、危険な挙動が発生するなどセキュリティリスクが高まったデバイスからのクラウドサービスへのアクセスを自動的に制限し、リスクが解消されたらアクセス制限を解除することが可能となります。
また、マルウェアがメールを媒介として侵入した場合などには、「Microsoft Defender for Endpoint」による解析を元に、原因となった対象のユーザーの電子メールのみならず、組織全体で自動的に削除するなど、今までウィルスメールの注意喚起をしつつもユーザーに依存していた対策を一変させることが可能となります。
このようにアカウント(ID)やデバイスの状態、メールシステムとシームレスに「連携」し、ワンストップで管理できるというのも魅力の一つではないでしょうか?
次回は、「ソリューション連携」についてさらに詳しくご紹介をさせていただきます。
