ニュース
» 2016年10月06日 08時00分 UPDATE

変わるWindows、変わる情シス:第13回 Windows 10なら「マルウェアに感染しても大丈夫」ってホント? (1/2)

マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。今回はAnniversary Updateで追加された、企業向けセキュリティ機能「Windows Defender ATP」について。

[山本築,ITmedia]

 こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP(Advanced Thread Protection)」をご紹介します。

 今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。もし自分の会社が攻撃に遭ってしまったらどうすればいいのか――と対策を進める企業は多いのではないでしょうか。

 これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、マルウェアに感染した後”に重点を置いているのが特徴だと言えます。

マルウェア感染後に重点を置いた「Windows Defender ATP」

 通常の標的型攻撃は、なりすましメールに添付したexeファイルを起動させ、デバイスをマルウェアに感染させます。そして、どのポートが開いているのかを探してバックドアを仕込み、C&Cサーバとアクセスを確立させて横展開――といったフローで行われます。

 こうした攻撃をいち早く検知するため、Windows Defender ATPでは、プロセッサやレジストリ、ファイル、ネットワークといったクライアントの動作ログを収集し、平時と異なる挙動があるかどうかを監視します。さらに、クライアントの動作ログを、ユーザーが契約したAzureの専用テナントにアップすることで、第三者機関や同社のセキュリティチームが収集した脅威情報データベースと照合できます。

 Azure上には、10億台を超えるWindowsデバイスや2兆5000億のインデックスされたURL、6億件のオンライン評価、そして、毎日発生する100万件の不審なファイルなどから得られる情報が蓄積されています。この膨大な情報を分析することで、異常な挙動がすぐに識別できるというわけです。

photo Windows Defender ATPの構成図

 照合の結果、異常だと判定されればアラートが出て、管理者が専用テナントにアクセスして分析結果を確認する――といった仕組みで、インシデントの早期発見を導きます。SIEM(Security Information and Event Management)などを導入していれば、情報をエクスポートして一元管理することも可能です。

 これらの機能は、Anniversary Updateを適用した「Windows 10 Pro」または「Windows 10 Enterprise」に標準搭載しているため、追加インストールなしで使用できます(ただし、ライセンスの契約が別途必要です)。

 それでは、ユーザーはどのようにインシデントを確認するのか、実際の管理画面で説明していきましょう。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -