MicrosoftがWindows 10から乗り出すサイバー攻撃対策とは？：Enterprise IT Kaleidoscope（2/2 ページ）

[山本雅史，ITmedia]

　当初の段階では企業向けのサービスとしては、基本的な部分にとどまるようだが、将来的には仮想化やコンテナ化などのテクノロジーを利用して、PCにダウンロードされたファイルやプログラム、メールの添付ファイルなどを事前に動作チェックして、問題のある行動をしないかどうかが確認できる。まるで、エボラ出血熱などを検査する「バイオセーフティレベル―P4」などの研究所に相当する機能をPCの内部に作り上げようとしている。また、Windows 10の仮想化やコンテナ化機能を利用して、サイバー攻撃に遭ったPCを元の状態に戻せるようにすることも考えているようだ。

　Windows Defenderは当初、鳴り物入りで開発されたものの、Microsoftが以前にリリースしていたMicrosoft Security Essentialsを含めて、あまりレベルが高いモノではなかった。定義ファイルによるウイルス検出など必要最低限の機能は持っていたが、セキュリティソフトの第三者評価機関による評価などではあまり高いポイントを示していなかった。

　つまりWDATPは、Microsoftが従来以上の本気でセキュリティへ取り組むべく開発されたモノといえるだろう。PCに対するサイバー攻撃は高度化するばかりで、しかも短期集中で実行されるように変わりつつある。従来のようにサイバー攻撃を検知してからMicrosoftが分析し、定義ファイルを月に数回配布するだけでは、攻撃を防げなくなってきているのだろう。

　このことはMicrosoftだけでなく、各セキュリティベンダーでも同様にあり、ウイルス自体がどんどん変異していくことからも、定義ファイルでウイルスをチェックするパターンマッチングでは対応が間に合わなくなってきている。WDATPの開発はこういった事情にも対応するためであり、セキュリティベンダーの場合は「Advanced Threat Protection」といったカテゴリのセキュリティソフトとして提供している。

　WDATPは、Office 365のAdvanced Threat Protectionや、Microsoft Advanced Threat Analyticsなどに含まれる電子メール保護サービスとも連携している。これらのサービスとWDATPは相互に情報をやりとりして、相互を補完するようになっている。

　なお、米国時間3月4日にリリースされたWindows 10のプレビュービルド14279では「Windows Defender Offline」という機能が追加されている。以前のWindows Defender Offlineは、USBメモリやCD/DVD-Rでブートメディアを作成してウイルスやルートキットをチェックしていたが、今回は「更新とセキュリティ」から「Windows DefenderでWindows Defender Offlineをオン」に設定すれば、Windowsを自動的に再起動してWindows Defenderが単独で動作する。ドライブのチェックが終了すれば、自動的に再起動してWindows 10が立ち上がるようなった。ユーザーはブートディスクなどを用意しなくても、ウイルス／ルートキットなどを駆除できるようになっている。

今後は3月末に開催されるMicrosoftの開発者向けコンファレンス「Build 2016」に合わせて公開される見込みのWindows 10のプレビュービルドに、WDATPは搭載される予定だ。WDATP企業版の全ての機能の搭載は間に合わず、実際に仮想化やコンテナ化などを使った動作チェック機能などは2016年後半になるだろう。