「Windows 10」「Office 365」で未知の攻撃防ぐ--日本MSがセキュリティ説明会

ZDNet Japan 2017年12月06日(水)13時20分配信

 日本マイクロソフトは12月5日、同社セキュリティ製品に関する報道関係者向け説明会を開催した。猛威を振るうサイバー攻撃の現状やそれに対する同社の対応について詳細に語った。

 国内における標的型メール攻撃は2016年までの3年で約8倍(警視庁の発表)、ランサムウェアは2016年までの1年で9倍近く急増した(トレンドマイクロ<4704>の発表)。9割の企業が未知の脅威に侵入されており、脅威に気付くまでに平均して242日かかるという調査結果も出ている。

 2020年の東京オリンピック開催に向けて、日本は世界中の攻撃者からターゲットにされるという恐れがある。そういう状況の中、政府も本腰を上げている。具体的には、経済産業省と情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」を発表し、サイバーセキュリティを経営課題として取り組むよう啓蒙している。

 米Microsoftは世界で年間10億ドル(約1000億円)をセキュリティに投資している。世界中にある10億台以上のWindowsデバイス、企業/消費者向けクラウドサービスを通じて得られる毎月4500億件のユーザー認証と4000億通のメールなど、自社の製品/サービスから継続的に得られる億単位のデータを集約し、「インテリジェントセキュリティグラフ」として地球規模で脅威情報を把握している。

 全世界で約3500人のセキュリティ専門家が在籍し、24時間体制でサイバー攻撃の状況監視とセキュリティ強化に取り組んでいる。具体的には、セキュリティ専門家とデータ科学者が一カ所に集まり同社サービスを保護する「Cyber Defense Operations Center」、法的機関と連携してボットネット壊滅などの対応を行う法律と技術の専門家チーム「Digital Crime Unit」、同社クラウドサービスに対する攻撃や侵入を検出し防御する「Cyver Hunting Team」、マルウェア対策チーム「Malware Protection Center」などのセキュリティ体制を整えている。

 「ID&アクセス管理や脅威対策、情報保護、セキュリティ管理などの統合セキュリティソリューションを提供するのが『Microsoft 365』。その裏側ではこうしたセキュリティの知見が生かされている」(藤本氏)

未知の脅威対策を強化するWindows 10

 クライアントOS「Windows 10」のセキュリティ対策については、セキュリティインシデントの検出や調査、マルウェアの封じ込め、エンドポイントの修復を行うEDR(Endpoint Detection and Response)機能に注力している。

 「Windows 10になってOS単体のセキュリティ機能が強化されている。多層防御の仕組みを取り入れており、侵入された後の対策方法も備えている」(日本マイクロソフト Windows&デバイスビジネス本部 エグゼクティブプロダクトマネージャー 石田圭志氏)。サイバー攻撃は巧妙化・高度化を続けており、未知の脅威から完璧に防ぎ切ることは不可能だと言われている。そうした防ぎ切れない攻撃への対策としてEDRが有効と考えられている。

 「Windows Defender Advanced Threat Protection(ATP)」は企業向けライセンス「Windows 10 Enterprise E5」で利用可能なクラウド型EDRで、侵入検知や発見後の事後対策を速やかに実施できる。OSに組み込まれた形で提供されるため、エージェントソフトのインストールが不要なことも特徴の一つだ。

 Windows Defender ATPの管理画面では、組織のエンドポイント全体のセキュリティインシデントや、端末から端末へのマルウェアの横展開を可視化するほか、感染したデバイスを特定してネットワークから分離して感染拡大を防ぐことが可能としている。

 「Windows 10とともに機能が進化している」(石田氏)とし、OSの更新サイクルに従って半年ごとのペースでWindows Defender ATPも機能強化を図っている。

Office 365で標的型メール攻撃から防御

 「マルウェアの9割以上がメールを入り口とし、その3分の2が添付ファイルを利用」(日本マイクロソフト Officeビジネス本部 プロダクトマーケティングマネージャー 広瀬友美氏)しているという。メールの防御対策が全ての企業にとって必要不可欠となっている。

 Microsoftでは、スパムやマルウェアから保護するクラウドベースの電子メールフィルタ処理サービス「Exchange Online Protection(EOP)」を提供している。しかしながら、ERPはシグネチャに基づいて既知の攻撃をブロックする仕組みであるため、未知の攻撃手段ですり抜けてきた脅威を十分に防ぐことはできない。

 これに対する標的型メール攻撃への防御策として、「Office 365 Advanced Threat Protection(ATP)」を提供している。受信者のもとにメールが届く前に、仮想メール受信環境で添付ファイルやURLリンクを検査して未知の攻撃をブロックする。

 添付ファイルの検査に必要な時間は「平均60秒」(広瀬氏)で、危険と判断されたファイルやリンクは自動で削除される。また、ファイルを検証している間であっても、内容をプレビュー表示できるようになっている。「ユーザーの生産性にはほとんど影響ない」(同)としている。

 マルウェアの検出率は2017年12月段階で99.9%。2015年のリリースから改善を続け、セキュリティ強化のための機能追加も継続的に実施している。

 組織への攻撃状況を可視化するツール「Office 365 Threat Intelligence」で、検出したマルウェアの種類や攻撃対象となっているユーザーの特定、組織外での攻撃状況などを確認することができる。時系列での攻撃情報を可視化することも可能だ。

 「従来は膨大なログを分析して、レポートにまとめる必要があった。そういった手間が不要となり組織のセキュリティ状況をリアルタイムに把握できるようになる」(広瀬氏)

包括的なセキュリティ体制で顧客環境を保護

 日本マイクロソフト マイクロソフトテクノロジーセンター アーキテクチャルテクノロジースペシャリスト 加藤寛二氏は、拡大する脅威への対応として「Protect(防御)」「Detect(検出)」「Respond(対処)」の仕組みで組織を守ることが重要であると説明。そのための施策として、「Azure Active Directory(AD)」を使った統合ID管理の有効性を強調した。

 オンプレミスの「Active Directory」とAzure ADを接続してID情報を同期することで、単一のIDでOffice 365やSaaSアプリを利用できるようになるほか、リスクに応じた条件付きアクセス制御も可能になる。

 IT部門が管理できない“シャドーIT”もセキュリティリスクが懸念される要素の一つだ。そうした許可されていないSaaSアプリを検出し、監視する技術として“CASB(Cloud Access Security Broker)”がある。「Microsoft Cloud App Security(CAS)」がこれに当たる。

 CASはユーザーがどのようなアプリを利用しているのかを可視化するほか、正規に利用しているSaaS環境においてユーザー操作や管理者操作を監視し、許可していない操作や不審な操作を検出する。

 オンプレミス製品としては資格情報への攻撃や侵害を検出する「Mirosoft Advanced Threat Analytics(ATA)」も用意する。Active Directory環境に特化した攻撃検出ツールで、トラフィック分析や機械学習技術を組み合わせてPCやIDを乗っ取られた後の攻撃をリアルタイムに監視する。

ZDNet Japan
もっと見る もっと見る

【あわせて読む】

    最終更新: 2017年12月06日(水)13時20分

    【関連ニュース】

    【コメント】

    • ※コメントは個人の見解であり、記事提供社と関係はありません。