連載
» 2018年04月11日 08時00分 公開

第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう変わるWindows、変わる情シス(3/3 ページ)

[山本築,ITmedia]
前のページへ 1|2|3       

資格情報の保護:Windows Defender Credential Guard

 ここからは地下3階部分、つまり攻撃に対する“保険”の部分を説明します。Windows Defender Credential Guardは、認証情報の盗難を防ぎ、組織ネットワーク内サーバへのなりすましを防ぐ機能です。

 ドメインの資格情報や、ケルべロス認証トークンなどを仮想化で隔離し、認証情報のハッシュ値を抜き取られないように構成します(参照リンク)。

photo Windows Defender Credential Guardの説明

HDD暗号化:BitLocker

 HDD暗号化は、既に多くの企業で導入されていると思いますが、Windows 10にももちろん「BitLocker」があります。最近では、MBAM(Microsoft BitLocker Administration and Monitoring)と呼ばれる、簡易的にBitLockerを管理できるツールが人気です。グループポリシーに準拠した監視などが行えます。

ブートレコード保護:Windows Defender Device Guard

 最後はブートレコードの保護です。大きく分けて2つのアプローチがあります。デバイスドライバなど、カーネルに近いレイヤーでコードの整合性を確認するものと、アプリの実行制御を証明書単位で行い、マルウェア感染を防ぐものです。Windows Defender Device Guardでは、この両方に対応しています。

photo Windows Defender Device Guardの説明

 ここまでWindows 10におけるセキュリティ機能をまとめて紹介しました。OS標準のセキュリティ機能を使うのは、エージェントや管理サーバの追加が必要なく、互換性の問題を軽減できるといったメリットがあります。

 前回の記事でも少し触れましたが、Windows DefenderやWindows Defender Exploit Guardなどの検知ログはWindows Defender ATPのポータルで確認できるので、統合的に管理できるのもポイントです。

 もちろん、既に使っている製品と組み合わせて使うのもOK。大切なのは、各ソリューションにが担うさまざまな役割に抜け漏れがないこと、そして、それらがちゃんと連携して、効率的に動くことができるかということなのです。

著者プロフィール:山本築

photo

 日本マイクロソフト クラウド&ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部

 日本企業に対して、Microsoftのセキュリティ製品をどう活用すれば、ビジネスに役立つかということを提案している。プライベートイベント「FEST 2015」「Tech Summit 2016」「de:code 2017」では、Windows 10のテーマで登壇。入社3年目にして大きな異動を経験し、奮闘の日々。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

注目のテーマ