連載
» 2018年04月11日 08時00分 公開

第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう変わるWindows、変わる情シス(2/3 ページ)

[山本築,ITmedia]

脆弱性、マクロ悪用対策、ネットワーク保護:Windows Defender Exploit guard

 EDRが物理セキュリティにおける“監視カメラ”のような役割だとしたら、この階層は“セキュリティゲート”のようなもの。信頼されていないアクセスをブロックすることが主な役割です。特にマクロ悪用対策については、2017年の夏ごろからVBAを悪用したマルウェア付きメールが出回っていることもあって、早急な対策が必要でしょう。Windows 10においては「Windows Defender Exploit guard」がこれに該当します。

  • 攻撃表面の縮小(ASR:Attack Surface Reduction):Office ベースやスクリプトベース、電子メールベースの脅威をブロックし、マシンにマルウェアが侵入することを防ぎます。
  • ネットワーク保護:Windows Defender SmartScreenを使って、デバイスから信頼されていないホストやIPへのアウトバウンドプロセスをブロックし、Webベースの脅威からエンドポイントを保護します。
  • コントロールされたフォルダアクセス:信頼されていないプロセスによる、保護されたフォルダーへのアクセスをブロックし、ランサムウェアから機密データを保護します。
  • Exploit Protection:EMETのような脆弱性緩和ツールです。攻撃されたアプリケーションを自動的にクラッシュさせたり、信頼されていないフォントをブロックするなど、その機能はさまざまです。

 ここに挙げた4つの機能のうち、上の2つについてはWindows 10 E3ライセンスでも使用できます。下の2つについては、E5ライセンスのみの提供となります。

未知のマルウェア検知:Windows Defender Cloud Protection(事前ブロック)

 昨今、既存のマルウェアから少しプログラムを変えた“亜種”が大量に出回っており、定義ファイルベースのアンチウイルスソフトでは、検知がままならないような状態に陥っています。

 Windows Defender Cloud Protectionでは、端末上で「Windows Defender ウイルス対策」が判定を下せない場合、クラウド側にハッシュ情報を送り、ハッシュをブラックリストに乗せ、全世界で広まろうとしている亜種を10秒程度でブロックできます。これは例えると、世界中のマシンが協力して“職務質問”を行うようなイメージです。

既知のマルウェア検知:Windows Defender ウイルス対策

 この階層は、皆さんもよくご存じのアンチウイルスソフトの部分です。

 Windows Defender ウイルス対策は、Machine Learning Model(ML:機械学習モデリング)によって、マルウェア判定をシグネチャベース以外の方法で行えます。具体的には、JavaScript、Visual Basicスクリプト、Officeマクロといった攻撃者がよく使うファイルタイプに特化したMLや、実行形式ファイル(exeやdll)などのMLを組み合わせて、検知する仕組みを実装しています。

 実際のマルウェア(Emotet)を検出した事例も公開していますし、もし、皆さんが検知した検体があれば、Malware Protection Center(MMPC)に検体を提出いただければと思います。

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

注目のテーマ