ランサムウェア対策を自動化する「Microsoft Defender for Business」はセキュリティ対策に手が回らない中小企業の希望の星となるか：Windowsフロントライン（2/3 ページ）

[鈴木淳也（Junya Suzuki），ITmedia]

“ゼロトラスト”とMicrosoft Defender for Business

　近年のセキュリティ対策に「ゼロトラスト」という考え方があるが、その意味するところは「何も信用するな」だ。

　従来の企業のセキュリティ対策といえば、ファイアウォールを設置して「内と外」の境界を分けることで「安全なアクセスとそうでないアクセス」を区別する点にあった。だが近年、侵入検知の考え方からいえば「内側からのアクセスを信用する」というのはセキュリティ上無意味で、「全てを疑ってかかれ」というのが正しい。

　外部からのアクセスはVPNでガチガチで固めるという対策を行っている企業も多いと思うが、クラウドサービスを利用するのが当たり前になりつつある昨今、侵入ルートはいくらでも存在し、かえってユーザーの利便性を損ねる結果にしかならないケースも少なくない。

　「サイバーハイジーン（Cyber Hygiene）」というキーワードがあるが、エンドポイントでの監視や検知を重視し、ウイルスそのものが侵入することを前提にした早期検知や調査、復旧に重きを置こうというのが近年のトレンドだ。

サイバーハイジーンにおけるセキュリティ対策

　このように、エンドポイント監視を主眼に管理機能や修復機能に重きを置いたのがMicrosoft Defender for Businessとなる。カテゴリー的には「EDR（Endpoint Detection and Response）」と呼ばれ、標準でWindowsクライアントなどに提供されるMicrosoft Defenderのウイルス対策機能に加え、さらに管理／監視機能を付与する。

　サービス的には「Microsoft 365 Business Premium」のサブスクリプションの一部として2022年3月2日より提供が開始されているが、「Microsoft 365の他の機能はいらず、EDRのみ導入したい」というユーザーのために用意されたのがMicrosoft Defender for Businessの単体製品だ。

　単体製品は5月3日より提供が開始されているが、注意点としてはMicrosoft 365 Business Premiumと同様に「ユーザー数の上限が300人まで」という制限があり、あくまで中小企業向けの仕様となっている。

Microsoft Defender for Businessは、ウイルス対策機能を提供するMicrosoft Defender ウイルス対策にさらに管理／監視機能を付与する

機能そのものはMicrosoft 365 Business Premiumのサブスクリプションとして提供されているが、現在は単体製品としてMicrosoft Defender for Businessを導入することも可能だ

　下記はMicrosoft 365 Defenderの動作画面例だが、管理者がダッシュボードなどを通してリアルタイム監視を行うことができる。分析ツールも搭載され、脅威の拡散やデータ盗難などの軌跡を追いかけることも可能だ。あくまでEDR製品なので、エンドポイントの監視と対策がメインとなるが、Microsoft 365の標準機能を用いて復旧もできる。

　例えば、Microsoft 365のストレージでは標準機能として500以上のバージョンファイルを保持しており、履歴を元にロールバック可能だ。これを応用することで、特定のファイルやレジストリの修復や隔離が可能となる。また、ゴミ箱に隔離されたファイルも、93日以内であればいつでも復元できる。

　詳細は「Microsoft 365でのランサムウェア攻撃から回復する」「自動調査後の修復アクションを確認する」などのドキュメントでも解説されているが、基本的にはシステムのロックなど大規模な被害が判明してからリカバリーを目指すのではなく、EDRとして常にエンドポイントを監視し、小まめに対策を施していくというのがMicrosoft Defender for Businessの目指すところといえる。

Microsoft Defender for Businessの管理ダッシュボード

リアルタイム検出の例

悪意のある資格情報の盗難ツールの実行例