第25回 セキュリティ対策の必要性を経営層に分かってもらうには？：変わるWindows、変わる情シス（2/2 ページ）

[山本築，ITmedia]

攻撃者視点で脅威の全体像を捉える「サイバーキルチェーン」

　以下に挙げるのは、サイバーキルチェーンの一例ですが、攻撃者はまず内部の状態を偵察し、だまされやすいメールを考えてから配信を行います。その後、URLがクリックされるなどして、実行ファイルが起動されると、サーバに接続して遠隔操作を行うという流れです。

　現在利用しているセキュリティ製品をこのフレームワークに照らし合わせることで「どの領域が甘いのか」「どこに投資を行うか」の判断をする助けになります。製品の過剰投資なども減らせるでしょう。また、攻撃されているいずれかの段階で脅威を断ち切るという多層防御の考え方を理解、設計するのにも役立ちます。

　できるだけ、上位階層の対策で防御できることが望ましいものの、上位階層で防げないケースを想定し、下位の階層でも対策を施しておくことが大切です。1つの製品で検知に失敗しても、他の製品で検知するといった考え方が重要なのです。

サイバーキルチェーンの一例

サイバーキルチェーンに対応したMicrosoftの製品マッピング

　もちろん、日本マイクロソフトでも、このサイバーキルチェーンに対応して製品を展開しています。最後に、脅威の可視化というポイントに絞った形で「Windows Defender ATP」「Office 365 ATP」の機能を少しご紹介しようと思います。

Windows 10のエンドポイント機能を「Windows Defender ATP」で可視化

　Windows Defender ATPでは、Windows 10の最新アップデート「Fall Creators Update」で新しく搭載された、侵入防止機能「Windows Defender Exploit Guard」で検知したログ情報を見ることができるほか、「Windows Defender ウイルス対策」でフルスキャンの命令なども行えます。

　エンドポイントの機能を可視化できるツールを導入することで、上位階層で防御する製品の効果を証明できます。攻撃がどの程度行われているか、どの程度すり抜けられてしまうかといったデータを可視化し、経営層に訴えることで、予算の確保や部署の評価につながる可能性は十分にあります。

Windows Defender ATPでは、Windows Defender Exploit Guardで検知したログ情報を確認できる

Office 365 ATPとWindows Defender ATPのダッシュボード連携

　Office 365 ATPを導入している場合は、Windows Defender ATPと連携して、標的型攻撃のファイルが誰に届けられたのか、そしてそのユーザーが開封したのかといった情報をダッシュボードから確認できるようになります。物理的にメールを削除することもできるので、運用負荷は大きく減るでしょう。

標的型攻撃によって感染した端末があった場合、感染をWindows Defender ATPで確認したのち、どれだけのメールが届いたのかといった情報をOffice 365 ATPで確認できる

　セキュリティにおける可視化のスピードアップや多層防御には、製品の連携が非常に重要なポイントになります。マイクロソフト製品はあくまでその一例ですが、こういった観点で自社のセキュリティ体制を見直してみてはいかがでしょうか。

著者プロフィール：山本築

　日本マイクロソフト クラウド＆ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部

　日本企業に対して、Microsoftのセキュリティ製品をどう活用すれば、ビジネスに役立つかということを提案している。プライベートイベント「FEST 2015」「Tech Summit 2016」「de:code 2017」では、Windows 10のテーマで登壇。入社3年目にして大きな異動を経験し、奮闘の日々。