第13回 Windows 10なら「マルウェアに感染しても大丈夫」ってホント？：変わるWindows、変わる情シス（1/2 ページ）

マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。今回はAnniversary Updateで追加された、企業向けセキュリティ機能「Windows Defender ATP」について。

[山本築，ITmedia]

　こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、8月2日にリリースした「Anniversary Update」で追加された新機能「Windows Defender ATP（Advanced Thread Protection）」をご紹介します。

　今や多くの企業にとって、標的型攻撃をはじめとするサイバー攻撃は、経営を揺るがしかねない脅威となっています。もし自分の会社が攻撃に遭ってしまったらどうすればいいのか――と対策を進める企業は多いのではないでしょうか。

　これまでWindowsでは、端末への攻撃を未然に防ぐ機能をそろえてきましたが、Windows Defender ATPは“端末が攻撃され、マルウェアに感染した後”に重点を置いているのが特徴だと言えます。

マルウェア感染後に重点を置いた「Windows Defender ATP」

　通常の標的型攻撃は、なりすましメールに添付したexeファイルを起動させ、デバイスをマルウェアに感染させます。そして、どのポートが開いているのかを探してバックドアを仕込み、C&Cサーバとアクセスを確立させて横展開――といったフローで行われます。

　こうした攻撃をいち早く検知するため、Windows Defender ATPでは、プロセッサやレジストリ、ファイル、ネットワークといったクライアントの動作ログを収集し、平時と異なる挙動があるかどうかを監視します。さらに、クライアントの動作ログを、ユーザーが契約したAzureの専用テナントにアップすることで、第三者機関や同社のセキュリティチームが収集した脅威情報データベースと照合できます。

　Azure上には、10億台を超えるWindowsデバイスや2兆5000億のインデックスされたURL、6億件のオンライン評価、そして、毎日発生する100万件の不審なファイルなどから得られる情報が蓄積されています。この膨大な情報を分析することで、異常な挙動がすぐに識別できるというわけです。

Windows Defender ATPの構成図

　照合の結果、異常だと判定されればアラートが出て、管理者が専用テナントにアクセスして分析結果を確認する――といった仕組みで、インシデントの早期発見を導きます。SIEM（Security Information and Event Management）などを導入していれば、情報をエクスポートして一元管理することも可能です。

　これらの機能は、Anniversary Updateを適用した「Windows 10 Pro」または「Windows 10 Enterprise」に標準搭載しているため、追加インストールなしで使用できます（ただし、ライセンスの契約が別途必要です）。

　それでは、ユーザーはどのようにインシデントを確認するのか、実際の管理画面で説明していきましょう。