Windows 10の公開から1周年、この節目に大型アップデート「Anniversary Update」を公開しました。

このアップデートでは、これまでの連載で紹介してきた「Windows Information Protection」が本格的に利用できるようになりました。

それ以外にも生体認証の「Windows Hello」がMicrosoft Edgeに対応し、Webサービスにおける認証でもパスワード代わりとして利用できるようになるなど、幅広いセキュリティ機能が追加されています。

事前対策に加えて事後対応を円滑にする「Windows Defender ATP」

多彩なセキュリティ機能が追加された大型アップデートですが、その中でも注目が「Windows Defender Advanced Threat Protection (Windows Defender ATP)」です。これまでのWindowsは、端末への侵入を未然に防ぐセキュリティ機能をコアに実装していましたが、Windows Defender ATPは、「侵入後のセキュリティ対策」を目的にした初めての機能です。

マルウェアや攻撃手法は進化のスピードがとても早く、どれだけ最新のセキュリティ機能をキャッチアップしても、すべての未知の攻撃を予測し、端末への侵入を100%防ぐことは非常に困難となっています。しかし、万が一侵入されても、そのことをいち早く検知して対応できれば、被害を最小限に防げます。

特に、クライアント端末を入り口として組織内への侵入を深めていく標的型攻撃に対しては、クライアント端末に対する侵入をいち早く検出することで、組織内の認証サーバーといった重要な部分への侵入を防げるのです。Windows Defender ATPは、「これまで利用していなかったポートを開いて通信を始める」といった「平時とは異なる挙動」をアラートすることで、未知のマルウェアなどによる侵入の早期発見を行い、組織への侵入拡大を防ぎます。

項目別セキュリティ対策と、それぞれに対応するWindows 10のセキュリティ機能

Windows Defender ATPはWindows 10に”標準機能”として組み込まれています。追加のソフトは不要であり、組織の管理者がポリシーを配布するだけで機能を利用できます。

組織内にある各Windows 10端末から集められた情報は、脅威データを基に分析が行われ、攻撃の疑いがある挙動をMicrosoft Azureに設置したテナントに通知します。閲覧するポータルでは「Powershell コマンドの引数」などを含めた実行動作の詳細や、動作の順序、組織内の他の端末への通信の有無などが確認できます。

また、緊急度や推奨される対応策、既知の攻撃や類似の攻撃があれば、その情報も合わせて表示します。管理者はこのような分析結果も合わせて確認し、必要な対応を判断・実行します。

Windows Defender ATPのシステム構成図

組織内における侵入検出は、ファイアウォールやネットワーク型の侵入検知システムの導入などが主流となっており、クライアント端末上での検出システムの導入は、ログ管理の煩雑さや、クライアント モジュールの配布・管理の問題などから敬遠される声が多く聞かれていました。

Windows defender ATP は、Windows 標準の機能として組み込まれているため、追加のモジュール配布が必要なく、導入や管理にかかるコストと導入障壁が下がっています。既存のSIEMも併用できますから、ぜひ活用を検討してみてください。