第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう：変わるWindows、変わる情シス（2/3 ページ）

[山本築，ITmedia]

脆弱性、マクロ悪用対策、ネットワーク保護：Windows Defender Exploit guard

　EDRが物理セキュリティにおける“監視カメラ”のような役割だとしたら、この階層は“セキュリティゲート”のようなもの。信頼されていないアクセスをブロックすることが主な役割です。特にマクロ悪用対策については、2017年の夏ごろからVBAを悪用したマルウェア付きメールが出回っていることもあって、早急な対策が必要でしょう。Windows 10においては「Windows Defender Exploit guard」がこれに該当します。

• 攻撃表面の縮小（ASR：Attack Surface Reduction）：Office ベースやスクリプトベース、電子メールベースの脅威をブロックし、マシンにマルウェアが侵入することを防ぎます。
• ネットワーク保護：Windows Defender SmartScreenを使って、デバイスから信頼されていないホストやIPへのアウトバウンドプロセスをブロックし、Webベースの脅威からエンドポイントを保護します。
• コントロールされたフォルダアクセス：信頼されていないプロセスによる、保護されたフォルダーへのアクセスをブロックし、ランサムウェアから機密データを保護します。
• Exploit Protection：EMETのような脆弱性緩和ツールです。攻撃されたアプリケーションを自動的にクラッシュさせたり、信頼されていないフォントをブロックするなど、その機能はさまざまです。

　ここに挙げた4つの機能のうち、上の2つについてはWindows 10 E3ライセンスでも使用できます。下の2つについては、E5ライセンスのみの提供となります。

未知のマルウェア検知：Windows Defender Cloud Protection（事前ブロック）

　昨今、既存のマルウェアから少しプログラムを変えた“亜種”が大量に出回っており、定義ファイルベースのアンチウイルスソフトでは、検知がままならないような状態に陥っています。

• 関連記事→第24回 マルウェアの96％は「使い捨て」――マイクロソフトが3カ月分析して分かったこと

　Windows Defender Cloud Protectionでは、端末上で「Windows Defender ウイルス対策」が判定を下せない場合、クラウド側にハッシュ情報を送り、ハッシュをブラックリストに乗せ、全世界で広まろうとしている亜種を10秒程度でブロックできます。これは例えると、世界中のマシンが協力して“職務質問”を行うようなイメージです。

既知のマルウェア検知：Windows Defender ウイルス対策

　この階層は、皆さんもよくご存じのアンチウイルスソフトの部分です。

　Windows Defender ウイルス対策は、Machine Learning Model（ML：機械学習モデリング）によって、マルウェア判定をシグネチャベース以外の方法で行えます。具体的には、JavaScript、Visual Basicスクリプト、Officeマクロといった攻撃者がよく使うファイルタイプに特化したMLや、実行形式ファイル（exeやdll）などのMLを組み合わせて、検知する仕組みを実装しています。

　実際のマルウェア（Emotet）を検出した事例も公開していますし、もし、皆さんが検知した検体があれば、Malware Protection Center（MMPC）に検体を提出いただければと思います。