PC USER Pro
連載
» 2018年04月10日 06時00分 公開

「他のセキュリティ対策ソフトはもういらない」とアピールするWindows Defenderの現状鈴木淳也の「Windowsフロントライン」(3/4 ページ)

[鈴木淳也(Junya Suzuki),ITmedia]

Enterprise E3/E5とAdvanced Threat Protection(ATP)

 個々のマシンの拠点防御に必要な機能は、Windows Defenderのシリーズ製品として提供されている。また、企業向けサブスクリプションであるWindows 10 Enterprise E3/E5では、複数マシンを保持する企業組織において重要な管理機能の他、各種データ保護のための特殊機構を提供するWindows Defenderの機能が幾つか用意されている。

 まずはEnterprise E3/E5のみで提供される、企業向けの共通機能からみていこう。

Windows Defender 一連のセキュリティ手順で利用されるWindows Defender(および関連セキュリティ製品)群と、Ennterprise E3/E5でのみ提供される機能群
Windows Defender Enterprise E3/E5で利用可能なWindows Defenderの機能群

 Enterprise E3/E5では、マルウェアだけでなく、認められたアプリ以外の実行を防ぐ機能「Device Guard」、資格情報をOSの実行領域とは分けて保存することでマルウェアの攻撃を防ぐ機能「Credential Guard」が利用できる。

 どちらも仮想化の仕組みを用いており、アプリ実行に必要な署名情報の保管の他、特定のサービスや領域へのアクセスに必要となる資格情報をマシン内の別領域で保存しておくことで安全性を高めている。

 昨今のマルウェアではマシン上のメモリダンプを読んでこうした資格情報を入手するものが存在しているが、ここで入手した情報を基に本命である個人情報などを保管したサーバへのアクセスを試みるなど、踏み台的な使われ方をすることが多い。仮想化でOS領域そのものを論理的に区切ってしまえば、こうしたマルウェアが仮に侵入しても必要な情報にアクセスできず、安全性を高められるという考えによるものだ。

 さらに「Application Guard」という機能も使える。これは、侵入の窓口として最も利用されやすいWebブラウザにおいて、仮想化を用いて信頼できるサイトとそうでないサイトの実行をそもそも分離して行うことで安全性を高める機能だ。

 そして、エンタープライズにおけるセキュリティにおいて重要となるのがEDR(Endpoint Detection and Response)だ。企業ユーザーを対象にしたセキュリティ製品は多数あるが、EDRによる管理機構こそが選択におけるポイントだといえる。EDRでは組織内で活用するデバイスの挙動を監視し、必要であれば隔離や停止、対策などを行う仕組みだ。

 MicrosoftのEDRは「Windows Defender Advanced Threat Protection」で、通称「ATP」と呼ばれている。ATPのメリットは幾つかあるが、その最大のものは「(管理機能を利用するための仕組みが)Windowsに標準コンポーネントとして組み込まれている」という点で、通常のEDR製品で求められる「各デバイスへの“エージェント”のインストール」が不要となっている。この辺りはファーストパーティーの優位性といえる。

Windows Defender 「Windows Defender ATP」の特徴

 ATPはWindows 10のバージョンアップとともに進化しており、現在もなお新機能が追加され続けている。利用にはEnterprise E5のサブスクリプションが必要となるが、逆にいえばEnterprise E5のサブスクリプションさえあれば、Windows 10をバージョンアップし続けることで新機能が常に自動的に追加されるため、別途アプリケーションの追加ライセンスを購入したり、エージェントの更新を行ったりする必要はない(OSのバージョンアップ作業は必要だが……)。

 間もなく登場するWindows 10の大型アップデート「Spring Creators Update(1803)」においても新機能が追加されており、Microsoftが買収したセキュリティ企業であるHexaditeの自動化技術を組み込んだ、半自動化モードでの脅威への対応が可能となる。

Windows Defender Windows 10のバージョンアップとともに進化するATP
Windows Defender 「Spring Creators Update」ではHexaditeの半自動対処ツールを利用可能に

 ATPは「Windows Defender Security Center」の管理コンソールから利用でき、通常はダッシュボードを起点に組織内のマシンを監視する形で運用される。脅威はアラートを通じて発見する形となって、適時必要な対処を行っていくことになる。当該のマシンで怪しいプロセスが起動していれば機能を停止し、ブラックリスト化することで他のマシンでの実行を未然に防げる。

 また、当該マシンのネットワークからの隔離の他、過去最大180日間までのタイムラインをさかのぼっての分析や対処など、必要に応じたアクションをとっていく。Fall Creators Updateではスコアリングの機能が追加され、現在の組織の脅威への対応状況をアップデートの適用率などを基準に判定してくれる。

 なお、管理コンソール自体はクラウド上で運用されているが、収集されたデータの管理などは各クライアントにATPの専用テナントが用意されるため、前述のThreat Intelligenceを除けば、他社を含むクラウド内でデータが横断的に利用される心配はない。

Windows Defender 「Windows Defender Security Center」のダッシュボード。ATPの基本画面
Windows Defender アラートが一覧表示されるので、個々の状況を調べていく
Windows Defender 個別のマシンの稼働状況を履歴をたどって調べることが可能
Windows Defender 感染に至るプロセスの分析の他、怪しいプロセスの稼働状況を調べるのに利用できる

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう