第26回 エンドポイントセキュリティは「7つの階層」に分けて考えよう:変わるWindows、変わる情シス(3/3 ページ)
働き方改革などのトレンドによって、エンドポイントセキュリティの重要性が高まっています。今回はエンドポイントセキュリティを「7つの階層」に分け、Windows 10が備えるセキュリティ機能をまとめてみようと思います。
資格情報の保護:Windows Defender Credential Guard
ここからは地下3階部分、つまり攻撃に対する“保険”の部分を説明します。Windows Defender Credential Guardは、認証情報の盗難を防ぎ、組織ネットワーク内サーバへのなりすましを防ぐ機能です。
ドメインの資格情報や、ケルべロス認証トークンなどを仮想化で隔離し、認証情報のハッシュ値を抜き取られないように構成します(参照リンク)。
HDD暗号化:BitLocker
HDD暗号化は、既に多くの企業で導入されていると思いますが、Windows 10にももちろん「BitLocker」があります。最近では、MBAM(Microsoft BitLocker Administration and Monitoring)と呼ばれる、簡易的にBitLockerを管理できるツールが人気です。グループポリシーに準拠した監視などが行えます。
ブートレコード保護:Windows Defender Device Guard
最後はブートレコードの保護です。大きく分けて2つのアプローチがあります。デバイスドライバなど、カーネルに近いレイヤーでコードの整合性を確認するものと、アプリの実行制御を証明書単位で行い、マルウェア感染を防ぐものです。Windows Defender Device Guardでは、この両方に対応しています。
ここまでWindows 10におけるセキュリティ機能をまとめて紹介しました。OS標準のセキュリティ機能を使うのは、エージェントや管理サーバの追加が必要なく、互換性の問題を軽減できるといったメリットがあります。
前回の記事でも少し触れましたが、Windows DefenderやWindows Defender Exploit Guardなどの検知ログはWindows Defender ATPのポータルで確認できるので、統合的に管理できるのもポイントです。
もちろん、既に使っている製品と組み合わせて使うのもOK。大切なのは、各ソリューションにが担うさまざまな役割に抜け漏れがないこと、そして、それらがちゃんと連携して、効率的に動くことができるかということなのです。
関連記事
- 「アンチウイルスソフトは死んだ」発言の真意は
「Firefox」の開発者が発した、「Windows 10ではPC向けのアンチウイルスソフトを買ってインストールするのは不要で、マイクロソフトが提供する無料のアンチウイルスサービスだけでいい」という言葉、果たして真実なのでしょうか。 - Windows 10 Creators Updateで追加されるセキュリティ機能たち
2017年に入ってもWindows 10の進化は止まることを知らない。次期アップデートのWindows 10 Creators Updateでは3Dなどグラフィック関連が注目を集めるが、今回は企業ユーザー向けの機能に注目してみたい。 - 第13回 Windows 10なら「マルウェアに感染しても大丈夫」ってホント?
マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。今回はAnniversary Updateで追加された、企業向けセキュリティ機能「Windows Defender ATP」について。 - 第4回 「Windows 10」は情報漏えいをどう防ぐ?
マイクロソフトの新OS「Windows 10」。もう使ったという人も、まだ試していないという人もいると思うが、あらためてそのポイントを“マイクロソフトの人”に解説してもらおう。第4回はデータ流出やマルウェア感染といった「情報漏えい」を防ぐ新機能について。
Copyright © ITmedia, Inc. All Rights Reserved.