中堅・中小企業の一歩目を支援する「Microsoft Defender for Business」：サイバー攻撃が狙うのは大企業だけ？

サプライチェーン攻撃を防ぐことができないと、自社だけでなく取引先にも迷惑がかかる。中堅・中小企業が対策に取り組むとすればまずどこから始めればよいのだろうか。

» 2023年02月16日 10時00分公開

[PR／ITmedia]

　セキュリティインシデントの報道が絶えず、ランサムウェアや標的型攻撃の激化を肌で感じられる。言葉巧みにメールを送り付けて添付ファイルを開かせたり、本物そっくりなフィッシングサイトに誘導したりするなど、手口自体は昔から存在する古典的なものがほとんどだ。だが、情報漏えいや金銭的な被害、最悪の場合は業務の停止に追い込まれる被害が多発している。

　名の知れた大手企業だけでなく、中堅・中小企業もサイバー攻撃のターゲットだ。セキュリティ対策が手薄な中小企業を足掛かりに大企業に攻撃を仕掛けるという狙いがある。

　日本マイクロソフトの担当者はこうした現状に対して、中堅・中小企業に足りない視点は何か、取るべき対策はどのようなものなのかを示した。

攻撃者にとって、大企業よりも中堅・中小企業は「コスパ」が高く魅力的

　日本マイクロソフトの松山祥子氏（クラウド＆ソリューション事業本部　サイバーセキュリティ＆コンプライアンス統括本部　サイバーセキュリティ技術営業本部　セキュリティテクニカルスペシャリスト）は、攻撃者が中堅・中小企業を狙うメリットを次のように語る。

　「ランサムウェアの価格はブラックマーケットで数百円です。それをばらまくだけで簡単に攻撃できます。被害に遭った企業の3割が身代金を支払っているという調査結果もあり、被害額は1件当たり数千万円から億単位です。攻撃者にとってコストパフォーマンスが高いにもかかわらず、中堅・中小企業は大手企業と比べてセキュリティ対策が手薄で、攻撃者にとって“魅力的”なのです」

日本マイクロソフトの松山祥子氏

　Verizonが毎年まとめている「データ漏洩/侵害調査報告書」（DBIR）によると、サイバー攻撃の約3分の1は中小企業を狙っているという。

　ところが、情報処理推進機構（IPA）の「2021年度中小企業における情報セキュリティ対策の実態調査報告書」によると、中小企業の30％はセキュリティ対策への投資が十分ではないという。

　さらに、コロナ禍によってテレワークが広がったことで攻撃者が付け入る隙が増えたことも考えられる。

　「会社支給の端末だけでなく、私有端末で業務を回す場面も増えています。PCだけでなくモバイル端末やスマートフォンでメールやメッセージを確認する機会が増えているにもかかわらず、使っている個人端末に十分なセキュリティ対策が施されていないことも狙われる要因の一つと考えられます」（松山氏）

脆弱性情報を収集するだけでは十分な対策とは言えない

　こうした背景からサプライチェーンでつながる取引先や業界団体から対策を求められるケースがある。

　中堅・中小企業が対策に本腰を入れようと考えるとき、限られた予算の中でどう対策を進めるかが問題になる。専門的な知見を持つ担当者が少ない中で「何から対策すればよいのか」「どこまで対策したらよいのか」が分からず、対策が進まない企業が多いと松山氏は語る。

　日本マイクロソフトが推奨するのは、「基本に立ち戻り、攻撃の被害を発生させないための事前の備えを固めること」だ。松山氏は「高度な機能を持ったソリューションを検討する前に、まず自社にどのようなIT資産があり、どのような脆弱（ぜいじゃく）性が存在するのかをひも付けて把握することです。重要な資産を守るためにはどんな対策が必要か、どこから対策すべきかが見えてきます」とアドバイスした。

　その上で、未知の攻撃や侵害に備えた検知と対処、従業員教育といった対策を、バランスを取りながら進めていくべきだと松山氏は呼び掛ける。

IT資産の脆弱性を可視化して「何から対策すればよいか分からない」への答えを提供

　まず強化しなければならないのはPCなどの「エンドポイント」対策だ。フィルタリングによってインターネットとの接続点となるゲートウェイで脅威をブロックするアプローチもあるが、それだけでは私有端末で業務を進める個人を狙った攻撃は防ぎ切れない。全てのエンドポイントを守る対策が必要だ。

　エンドポイントを保護する手段としてMicrosoftは、中堅・中小企業向けのEDR（Endpoint Detection and Response）である「Microsoft Defender for Business」を提供している。これまで「Microsoft Defender for Endpoint」として提供してきた製品を中堅・中小企業向けに最適化したもので、検知や侵害後の対応はもちろん、いかに攻撃を食い止めるかという「予防」にも力を入れている。

EDRの基本機能はもちろん侵害が発生しないよう「予防」にも注力する（提供：日本マイクロソフト）

　OSはもちろん、Webブラウザやアプリケーションなど日々の業務で使われるソフトウェアを予防の対象とする。それぞれのバージョンや脆弱性を一気通貫で把握可能だ。脆弱性が存在する場合は、バックエンドで動作するAI（人工知能）やMicrosoftがグローバルで収集している脅威動向を基にスコアリングし、まずはどのソフトウェアに対策が必要で、何をアップデートすべきなのかを把握できる。

　振る舞い検知やネットワーク保護、ファイアウォール、カテゴリーに基づくURLブロックなどの機能も備えており、従業員が安全に端末を使うための機能をワンストップで提供する。

　インシデント発生後の検知や対応もできる。管理者に異常の検知を通知するだけでなく、端末を元の状態に戻す自動修復機能を提供する。特に、情報システム部門に十分な人材リソースを割けない中堅・中小企業は、限られた人数で多くのタスクを処理しなければならない。自動復旧機能によって、人手がかかる緊急対応をサポートする。

　「いつ、どの端末がどのような攻撃を受けたのか」「同様の攻撃がどこまで影響範囲を広げているのか」といった情報を管理画面にグラフィカルに表示することで、煩雑なツールに頼ることなく状況を把握できる。自社での運用が不安な場合は、日本マイクロソフトのパートナーが提供する支援サービスを利用可能だ。

　次に、Microsoft Defender for Businessならではの2つの特徴について説明する。

　1つ目は、世界中のMicrosoft製品から得られる1日当たり65兆件にも上るシグナルを解析することで、最新の脅威情報や脆弱性情報など多角的な情報に基づいたリスク分析が可能な点だ。2つ目は、Windowsとの高い親和性だ。「Windows Update」を適用すればMicrosoft Defender for Businessも更新される。更新にかかる手間を最小限にできる。

Microsoftがグローバルで収集するビッグデータの規模（提供：日本マイクロソフト）

　「エージェントを必要とするセキュリティ製品もありますが、利用する製品が増えるほどPCの負荷が高まり、動作が遅くなるといった声があります。Microsoft Defender for BusinessはOSに組み込まれていてライセンスを有効化してオンボードするだけで利用できるため、PCにかかる負荷も最小限に抑えられます」（松山氏）

　Windowsだけでなく「macOS」「Linux」「Android」「iOS」などマルチOSに対応しており、1ユーザーライセンスで5デバイスまで利用できる。

まずは基本を徹底し、「攻撃を受けにくい状態」の実現を

　Microsoft Defender for Businessは「どこから手を付ければよいか分からない」と悩む企業に「どのような状態にあるのか」「どこに、どのような脆弱性があるのか」を分かりやすく示すことでセキュリティ対策の最初の一歩を踏み出す手助けをする。

　自社のリスクスコアを示すだけでなく、同様の規模の企業と比較したり時系列で推移を見たりすることで「平均以上の対策ができているのか」「状況は改善しているのか、それとも変わらないのか」を確認できる。インシデントが発生した場合はMicrosoft Defender for Businessの情報を基に、自社がつながるサプライチェーンや業界全体に対して「どのような状況か」「事態は収束したのか」を説明し、平常運用への復旧につなげられるだろう。

　2022年秋にサーバを保護するソリューション提供も開始し、クライアントからサーバに至るまで、企業のIT環境全体を見渡して資産を把握し、適切に保護できるよう引き続き支援していく。