Windows Defender Advanced Threat Protection を発表

本ブログは、Windows Blog “Announcing Windows Defender Advanced Threat Protection” の抄訳です。

マイクロソフトは、Windows 10 を史上最も安全なプラットフォームとして皆様にお届けするために、プラットフォームのセキュリティ設計をゼロから見直すことにしました。その甲斐もあって、Windows 10 には Credential Guard、Device Guard、Windows Hello、Enterprise Data Protection といったユニークな防御機能が組み込まれることになりました。Windows Defender はマイクロソフトが提供する無料のマルウェア対策サービスであり、毎日 3 億台もの Windows 搭載デバイスの保護に利用されています。また、Windows ではシステムの防御機能を毎月強化しており、あらゆるセキュリティ上の問題点を調査すると共に、Windows Update 経由で積極的に更新プログラムを配信しています。

このように、マイクロソフトはセキュリティ対策を継続的に行うことで、企業ユーザーの皆様の強いご要望にお応えしています。そうした取り組みが評価され、米国防総省では、今年中に省内で利用されている 400 万台のデバイスに Windows 10 を導入することを決定したほか、NASCAR (英語) やヴァージン アトランティック航空 (英語)、世界各地の学校 (英語) など、特に厳しい要件を持つ組織でも Windows 10 への移行が急速に進められています。

そして、このたびマイクロソフトは、企業向けの新たな保護サービスとして Windows Defender Advanced Threat Protection を開発中であることを発表しました。

サイバー攻撃はますます巧妙に

近年では、大胆なサイバー攻撃が目に見えて増加しています。攻撃者側の組織化が進んでおり、国家から支援を受けている者やサイバー スパイ、サイバー テロを企む者などの存在が目立つようになりました。たとえ企業が最高レベルの防御機能を備えていたとしても、有能な攻撃者はソーシャル エンジニアリングを使用したりゼロデイ攻撃を仕掛けるなどして企業ネットワークの脆弱性を突き、簡単に侵入を成功させます。事実、こうした被害は 2015 年だけでも数千件を超える規模になっています。現在、企業がこのようなセキュリティ侵害を検知するまでには 200 日以上、食い止めるには 80 日間を要すると言われています。この間に、攻撃者は企業ネットワークから顧客データを盗み出したり個人情報を漏えいさせるなどの大きな被害をもたらし、企業に対する顧客の信頼を失墜させるという目的を果たしています。こうした攻撃への対処に必要なコストは莫大で、1 つのインシデントあたり平均 1,200 万ドルもの予算が失われます。また、企業の評判の低下も避けられません。

攻撃者の手法が進化、高度化するにつれ、企業向けのセキュリティ アプローチも確実に進化させ、高度化させなければなりません。これにはお客様も同じ考えを持っていて、調査対象とした企業の IT 責任者の 9 割が「包括的なインテリジェンス機能を使って攻撃者を即座に特定すると共に、修復方法も提示してくれる高度な保護ソリューションが必要」と回答しています。

Windows Defender Advanced Threat Protection による攻撃の検知、調査、対処

マイクロソフトが現在開発している Windows Defender Advanced Threat Protection は、企業ネットワークに対する攻撃の検知、調査、対処の支援を目的とした企業ユーザー保護のための新たなセキュリティ サービスです。Windows 10 で使用されているセキュリティ防御機能をベースに構築が進められており、脅威が Windows 10 のセキュリティ スタックをすり抜けた後の新たな保護層として機能します。Windows 10 に組み込まれているクライアント テクノロジや堅牢なクラウド サービスと組み合わせることで、他の防御機能を通過して侵入した脅威を検知し、エンドポイント全体を調査するための情報を取得し、推奨される対処法を企業に提示することができます。

Windows Defender Advanced Threat Protection の主な機能

1) 高度な攻撃の検知: 攻撃者、攻撃の種類、攻撃の原因といった主な情報を提供します。世界最大規模のセンサーと、マイクロソフトのエキスパートやセキュリティ パートナーからなる専門家チームの高度な脅威に関するインテリジェンスにより、攻撃の検知が可能となっています。

Windows Defender Advanced Threat Protection は、Windows 挙動センサー、クラウド ベースのセキュリティ分析、脅威インテリジェンス、マイクロソフトのインテリジェント セキュリティ グラフが組み合わさることで強力な力を発揮します。インテリジェント セキュリティ グラフでは、10 億台を超える Windows デバイスや 2 兆 5,000 億のインデックス化された URL、6 億件のオンライン評価、毎日発生する 100 万件の不審なファイルなどから得られる情報について、ビッグデータ セキュリティ分析によって挙動が集約的に監視され、例外が識別されます。

その後、これらのデータは攻撃の検知を専門とする世界中の有能なセキュリティ エキスパートや高度な脅威からの保護を専門とする担当者によって強化されます。

2) 推奨の対処法の提示: Windows Defender Advanced Threat Protection のセキュリティ運用データは、企業がアラートやネットワーク全体での攻撃の兆候、特定のデバイスでの攻撃者の挙動を調査したり、ファイルの痕跡の詳細を入手して、推奨される対処法を知るために利用できます。

Windows Defender Advanced Threat Protection にはタイム トラベルのような機能があり、過去 6 か月のマシンの状態やその活動を調査し、履歴調査機能をフルに活用して得られた情報がシンプルな攻撃タイムラインとして表示されます。調査ツールは非常にシンプルで、生のログを調べることなく特定のマシンや企業全体で発生したプロセス、ファイル、URL、ネットワーク接続イベントを調査することができます。

また、クラウド ベースの破壊サービスでは、ファイルや URL を分離された仮想マシンに送信して詳細な調査を行うことができます。Windows Advanced Threat Protection では今後、攻撃を受けたエンドポイントの修復ツールも提供される予定です。

3) Microsoft Advanced Threat Detection ソリューションの補完: Windows Defender Advanced Threat Protection は Windows 10 に組み込まれているため、常に最新の状態が維持されるほか、コスト削減や展開の手間がかからないといったメリットがあります。また、クラウド バックエンドを使用するため、オンプレミスのサーバー インフラストラクチャを用意したり、継続的な保守を行う必要もありません。また、Windows Defender Advanced Threat Protection は Office 365 Advanced Threat Protection と Microsoft Advanced Threat Analytics の電子メール保護サービスを補完します。

既に 50 万個のエンドポイントの保護に採用

Windows 10 の開発では Windows Insider Program に参加された数百万人のユーザーの皆様からたくさんのフィードバックを頂きましたが、Windows Defender Advanced Threat Protection の開発においても、攻撃の調査や日常の運用における重大なセキュリティ問題を解決するために、先進的な企業ユーザーの皆様に自社の環境でマイクロソフトのソリューションをテストしていただくなどのご協力をお願いしています。Windows Defender Advanced Threat Protection は、マイクロソフト ネットワーク、および世界各地のさまざまな業種のお客様に早期採用していただいており、世界最大規模の高度な脅威保護サービスの 1 つとなっています。

早期採用ユーザーの皆様の声

「サイバー セキュリティは当社最大の憂慮事項で、現在、すべてのエンドポイントの安全を確保することが最優先課題となっています。Windows Defender Advanced Threat Protection にはこれを解決する独自の機能があり、一つひとつのエンドポイントで発生していることを正確に把握できます。これは、他のソリューションでは実現できなかったことです」Greg Petersen 氏 (Avanade、IT セキュリティ担当シニア ディレクター)

「企業においては多層防御が不可欠ですが、Windows Defender Advanced Threat Protection の採用で、防御の階層にさらに厚みが増しました。世界規模でのサンプリングはマイクロソフトだけができることであり、自社のコンピューターで起きる不審な挙動の検知に役立っています。また、不審な挙動を検知すると即座に警告を発し、コンピューターとネットワークの安全を保ってくれます」Fran De Hann 氏 (Pella Windows、シニア セキュリティ アドバイザー)

「Windows Defender Advanced Threat Protection を導入したおかげで、ネットワーク上の致命的な脆弱性を認識でき、すぐにセキュリティ ポリシーを更新するなどの対策に乗り出すことができました」Henrik Pedersen 氏 (TDC Hosting (デンマーク)、IT マネージャー)

マイクロソフトでは、企業の皆様に最も先進的なセキュリティ保護機能をご利用いただくために、Windows 10 へのアップグレードをお勧めしています。Windows 10 では、今年さらに多くの地域でのリリースが予定されている Windows Defender Advanced Threat Protection のメリットを存分にご活用いただくことができます。この新たなサービスがぜひ皆様のセキュリティ保護のお役に立てるよう願っています。

Terry Myerson