Windows 10なら、Office 365ならこう守れる――Microsoft流“クラウドでセキュリティ”の具体的活用事例を紹介：セキュリティ対策の課題を「クラウド」で解決へ

サイバーセキュリティは経営の問題に

日本マイクロソフト クラウド＆エンタープライズビジネス本部 クラウド＆サーバービジネス開発本部 部長 藤本浩司氏

　説明会の冒頭、日本マイクロソフトの藤本浩司氏（クラウド＆エンタープライズビジネス本部 クラウド＆サーバービジネス開発本部 部長）は、Microsoftが調査した「2017年のセキュリティ優先事項」の結果を紹介。「インシデント検知対応」が、多くの企業で最優先事項に挙げられたと説明した。

　続けて、既に企業の9割が「侵入を経験済み」であること、マルウェアは「20万円で購入できる」こと、「CISO（Chief Information Security Officer：最高情報セキュリティ責任者）任命済みの企業は64.3％」など、サイバーセキュリティに関する厳しい現状を紹介した。

サイバースペースの現状には、厳しい数字が並ぶ

　2017年11月に改訂された「サイバーセキュリティ経営ガイドライン」においても、セキュリティ対策は「コストではなく、投資と位置付けよ」という指摘がある。

• ［参考］サイバーセキュリティ経営ガイドラインを改訂しました（METI/経済産業省）

　このことからも、藤本氏は「侵入前のセキュリティ対策が必須である」こと、「サイバー攻撃者は投資して、攻撃を行う」こと、そして「サイバーセキュリティは経営問題である」という現状を指摘する。日本国内においても標的型メール攻撃の件数はこの4年間で8倍に、ランサムウェア検出台数はこの1年で9倍に増加するなど、多くのセキュリティ課題が目の前にある。

　藤本氏は「セキュリティの課題の解決には、データと分析、組織内のセキュリティ対策、サーバ管理と運用、コンプライアンス、そしてセキュリティ人材などの観点がある。Microsoftはセキュリティ対策の課題解決に“クラウド活用”を提案する。Microsoftとパートナーが提供するクラウドを“ツール”として活用し、セキュリティ課題の解決に役立ててほしい」と述べた。

Windows 10 Enterpriseの機能「Defender ATP」とは？

　Microsoftが提案する、サイバーセキュリティにおける課題解決の実例の1つが「Windows Defender Advanced Threat Protection」（以下、Defender ATP）だ。

• Windows Defender Advanced Threat Protection

　Defender ATPは、Windows 10 Pro／Enterpriseの機能の1つで、これまでWindows 10に実装されてきたセキュリティ機能に加え、侵入検知、保護といった「攻撃を受けた後の対策」を提供する。

Windows 10 Enterpriseに搭載されたセキュリティ機能。その多くはWindows 10から追加された新機能だ

「Windows Defender Advanced Threat Protection」はクラウドベースのEndpoint Detection and Response（EDR）だ

　Defender ATPでは、マルウェアをダウンロードし、間違って実行してしまったとしても、エンドポイントでのインシデント検出、調査、封じ込め、修復まで行えるようになる。管理画面では組織内のインシデント一覧や感染状況を確認でき、マルウェアに感染したデバイスを特定したり、ネットワークから分離させたりすることが可能だ。

　日本マイクロソフトの石田圭志氏（Windows＆デバイスビジネス本部 エグゼクティブプロダクトマネージャー）は、「サイバー攻撃は検知までに時間がかかることも多く、侵入されてから3年以上も気が付かずに放置されることもある。Defender ATPはエージェントのインストールも不要で、検出から修復までが行える。マルウェア対策に加え、こうした“EDR”（Endpoint Detection and Response）も実施すべきだ」と述べた。

メールの添付ファイルからユーザーを守る「Office 365 ATP」

　マルウェアの侵入経路として、最も狙われやすいのが「電子メール」だ。この電子メールに対して、Microsoftの「Office 365」では、署名に基づいたアンチウイルス機能や既知の攻撃をブロックする機能を提供している。こうしたセキュリティ機能に加えて、「未知の攻撃からメールをリアルタイムで保護する仕組み」が「Office 365 Advanced Threat Protection」（以下、Office 365 ATP）だ。

• Office 365 Advanced Threat Protection

「Office 365 Advanced Threat Protection」の機能（図内の右側）

　Office 365 ATPは、添付ファイルをあらかじめクラウド上の仮想化環境上で開き、その挙動を確認して安全性を判断する。万が一、実行ファイルが偽装されていたり、スクリプトなど怪しい挙動があったりした場合には、その添付ファイルを開くことをブロックする。また、メール内に記載されたURLも、問題のある接続先に対してはブロックする。

　日本マイクロソフトの広瀬友美氏（Office ビジネス本部 プロダクトマーケティングマネージャー）は、「標的型メール攻撃では、もはや文面だけで不審な部分を見つけることはできなくなっている。Office 365 ATPでは平均60秒でメールの検査が完了する。最近、安全なプレビュー機能も追加された。クラウドのサービスなので、日々進化していることが実感いただけると思う」と述べた。

資格情報を守る、情報漏えいを防ぐ「Microsoft Secure」

　Microsoftのセキュリティソリューションが持つ重要な情報の1つは「資格情報」だ。多くの企業が「Active Directory」を運用しており、これこそが企業で守るべき重要情報の1つとなっている。万が一この資格情報が盗まれた場合には、権限を悪用しさまざまなコントロールが奪われてしまう可能性があるからだ。

　資格情報の保護に関して、Microsoftは「攻撃のコストを増加させる」ために、典型的な攻撃パターンへの対処や即時対応、復旧ができる仕組みを提供している。例えば、単一のIDでOffice 365だけでなく、対応するさまざまなSaaS（Software as a Service）のIDを管理する「Azure Active Directory」がある。

• Azure Active Directory

単一のIDでシングルサインオン機能を提供するAzure Active Directory

　日本マイクロソフトの加藤寛二氏（マイクロソフトテクノロジーセンター アーキテクチャルテクノロジースペシャリスト）は、「Azure Active Directoryにより、ログイン時のリスクを洗い出すことが可能になる。IPアドレスやロケーションなどの状況を把握して、リスクが高いと判断すればログインをブロックし、リスクが「中」程度であれば多要素認証を要求するなどの条件付きのアクセス制御が行えるようになる。サードパーティーのBoxやConcur、Sansanなどのサービスも、Azure Active Directoryに対応しているので、統合IDを活用することで、Azure Active Directoryで集中管理が可能になる」と述べる。

　この他、資格情報への攻撃、侵害を検出する「Microsoft Advanced Threat Analytics（ATA）」や、クラウドサービスを可視化しポリシーを適用することで、シャドーITを監視／管理できる「Microsoft Cloud App Security（CAS）」、ドキュメントやテキストの情報漏えい防止／統制を行える「Azure Information Protection（AIP）」など、Microsoftのセキュリティソリューションを活用することで侵入、攻撃、コントロールの各層で防御が可能になることを強調した。

マイクロソフトが持つ各種ソリューションと脅威分布の対応