第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう:変わるWindows、変わる情シス(2/3 ページ)
働き方改革などのトレンドによって、エンドポイントセキュリティの重要性が高まっています。今回はエンドポイントセキュリティを「7つの階層」に分け、Windows 10が備えるセキュリティ機能をまとめてみようと思います。
脆弱性、マクロ悪用対策、ネットワーク保護:Windows Defender Exploit guard
EDRが物理セキュリティにおける“監視カメラ”のような役割だとしたら、この階層は“セキュリティゲート”のようなもの。信頼されていないアクセスをブロックすることが主な役割です。特にマクロ悪用対策については、2017年の夏ごろからVBAを悪用したマルウェア付きメールが出回っていることもあって、早急な対策が必要でしょう。Windows 10においては「Windows Defender Exploit guard」がこれに該当します。
- 攻撃表面の縮小(ASR:Attack Surface Reduction):Office ベースやスクリプトベース、電子メールベースの脅威をブロックし、マシンにマルウェアが侵入することを防ぎます。
- ネットワーク保護:Windows Defender SmartScreenを使って、デバイスから信頼されていないホストやIPへのアウトバウンドプロセスをブロックし、Webベースの脅威からエンドポイントを保護します。
- コントロールされたフォルダアクセス:信頼されていないプロセスによる、保護されたフォルダーへのアクセスをブロックし、ランサムウェアから機密データを保護します。
- Exploit Protection:EMETのような脆弱性緩和ツールです。攻撃されたアプリケーションを自動的にクラッシュさせたり、信頼されていないフォントをブロックするなど、その機能はさまざまです。
ここに挙げた4つの機能のうち、上の2つについてはWindows 10 E3ライセンスでも使用できます。下の2つについては、E5ライセンスのみの提供となります。
未知のマルウェア検知:Windows Defender Cloud Protection(事前ブロック)
昨今、既存のマルウェアから少しプログラムを変えた“亜種”が大量に出回っており、定義ファイルベースのアンチウイルスソフトでは、検知がままならないような状態に陥っています。
Windows Defender Cloud Protectionでは、端末上で「Windows Defender ウイルス対策」が判定を下せない場合、クラウド側にハッシュ情報を送り、ハッシュをブラックリストに乗せ、全世界で広まろうとしている亜種を10秒程度でブロックできます。これは例えると、世界中のマシンが協力して“職務質問”を行うようなイメージです。
既知のマルウェア検知:Windows Defender ウイルス対策
この階層は、皆さんもよくご存じのアンチウイルスソフトの部分です。
Windows Defender ウイルス対策は、Machine Learning Model(ML:機械学習モデリング)によって、マルウェア判定をシグネチャベース以外の方法で行えます。具体的には、JavaScript、Visual Basicスクリプト、Officeマクロといった攻撃者がよく使うファイルタイプに特化したMLや、実行形式ファイル(exeやdll)などのMLを組み合わせて、検知する仕組みを実装しています。
実際のマルウェア(Emotet)を検出した事例も公開していますし、もし、皆さんが検知した検体があれば、Malware Protection Center(MMPC)に検体を提出いただければと思います。
関連記事
- 「アンチウイルスソフトは死んだ」発言の真意は
「Firefox」の開発者が発した、「Windows 10ではPC向けのアンチウイルスソフトを買ってインストールするのは不要で、マイクロソフトが提供する無料のアンチウイルスサービスだけでいい」という言葉、果たして真実なのでしょうか。 - Windows 10 Creators Updateで追加されるセキュリティ機能たち
2017年に入ってもWindows 10の進化は止まることを知らない。次期アップデートのWindows 10 Creators Updateでは3Dなどグラフィック関連が注目を集めるが、今回は企業ユーザー向けの機能に注目してみたい。 - 第13回 Windows 10なら「マルウェアに感染しても大丈夫」ってホント?
マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。今回はAnniversary Updateで追加された、企業向けセキュリティ機能「Windows Defender ATP」について。 - 第4回 「Windows 10」は情報漏えいをどう防ぐ?
マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。第4回はデータ流出やマルウェア感染といった「情報漏えい」を防ぐ新機能について。
Copyright © ITmedia, Inc. All Rights Reserved.