第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう：変わるWindows、変わる情シス（3/3 ページ）

[山本築，ITmedia]

資格情報の保護：Windows Defender Credential Guard

　ここからは地下3階部分、つまり攻撃に対する“保険”の部分を説明します。Windows Defender Credential Guardは、認証情報の盗難を防ぎ、組織ネットワーク内サーバへのなりすましを防ぐ機能です。

　ドメインの資格情報や、ケルべロス認証トークンなどを仮想化で隔離し、認証情報のハッシュ値を抜き取られないように構成します（参照リンク）。

Windows Defender Credential Guardの説明

HDD暗号化：BitLocker

　HDD暗号化は、既に多くの企業で導入されていると思いますが、Windows 10にももちろん「BitLocker」があります。最近では、MBAM（Microsoft BitLocker Administration and Monitoring）と呼ばれる、簡易的にBitLockerを管理できるツールが人気です。グループポリシーに準拠した監視などが行えます。

ブートレコード保護：Windows Defender Device Guard

　最後はブートレコードの保護です。大きく分けて2つのアプローチがあります。デバイスドライバなど、カーネルに近いレイヤーでコードの整合性を確認するものと、アプリの実行制御を証明書単位で行い、マルウェア感染を防ぐものです。Windows Defender Device Guardでは、この両方に対応しています。

Windows Defender Device Guardの説明

---

　ここまでWindows 10におけるセキュリティ機能をまとめて紹介しました。OS標準のセキュリティ機能を使うのは、エージェントや管理サーバの追加が必要なく、互換性の問題を軽減できるといったメリットがあります。

　前回の記事でも少し触れましたが、Windows DefenderやWindows Defender Exploit Guardなどの検知ログはWindows Defender ATPのポータルで確認できるので、統合的に管理できるのもポイントです。

　もちろん、既に使っている製品と組み合わせて使うのもOK。大切なのは、各ソリューションにが担うさまざまな役割に抜け漏れがないこと、そして、それらがちゃんと連携して、効率的に動くことができるかということなのです。

著者プロフィール：山本築

　日本マイクロソフト クラウド＆ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部

　日本企業に対して、Microsoftのセキュリティ製品をどう活用すれば、ビジネスに役立つかということを提案している。プライベートイベント「FEST 2015」「Tech Summit 2016」「de:code 2017」では、Windows 10のテーマで登壇。入社3年目にして大きな異動を経験し、奮闘の日々。