以下に挙げるのは、サイバーキルチェーンの一例ですが、攻撃者はまず内部の状態を偵察し、だまされやすいメールを考えてから配信を行います。その後、URLがクリックされるなどして、実行ファイルが起動されると、サーバに接続して遠隔操作を行うという流れです。
現在利用しているセキュリティ製品をこのフレームワークに照らし合わせることで「どの領域が甘いのか」「どこに投資を行うか」の判断をする助けになります。製品の過剰投資なども減らせるでしょう。また、攻撃されているいずれかの段階で脅威を断ち切るという多層防御の考え方を理解、設計するのにも役立ちます。
できるだけ、上位階層の対策で防御できることが望ましいものの、上位階層で防げないケースを想定し、下位の階層でも対策を施しておくことが大切です。1つの製品で検知に失敗しても、他の製品で検知するといった考え方が重要なのです。
もちろん、日本マイクロソフトでも、このサイバーキルチェーンに対応して製品を展開しています。最後に、脅威の可視化というポイントに絞った形で「Windows Defender ATP」「Office 365 ATP」の機能を少しご紹介しようと思います。
Windows Defender ATPでは、Windows 10の最新アップデート「Fall Creators Update」で新しく搭載された、侵入防止機能「Windows Defender Exploit Guard」で検知したログ情報を見ることができるほか、「Windows Defender ウイルス対策」でフルスキャンの命令なども行えます。
エンドポイントの機能を可視化できるツールを導入することで、上位階層で防御する製品の効果を証明できます。攻撃がどの程度行われているか、どの程度すり抜けられてしまうかといったデータを可視化し、経営層に訴えることで、予算の確保や部署の評価につながる可能性は十分にあります。
Office 365 ATPを導入している場合は、Windows Defender ATPと連携して、標的型攻撃のファイルが誰に届けられたのか、そしてそのユーザーが開封したのかといった情報をダッシュボードから確認できるようになります。物理的にメールを削除することもできるので、運用負荷は大きく減るでしょう。
セキュリティにおける可視化のスピードアップや多層防御には、製品の連携が非常に重要なポイントになります。マイクロソフト製品はあくまでその一例ですが、こういった観点で自社のセキュリティ体制を見直してみてはいかがでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.