Azure Managed Service Column <Azure運用コラム>

Defender for Endpointとは?

Category: 入門編

2022.05.17

多様化するサイバー攻撃への効果的な対策とは?次世代のセキュリティについて解説

サイバー攻撃の手法は年々高度化しています。標的型攻撃など巧妙な手口の攻撃が増えており、従来のセキュリティ製品だけでは対応が難しいケースが増えています。

そのような状況下で注目を集めているのがEDRです。EDRとは、ユーザーが利用するパソコンやタブレットなどの端末がサイバー攻撃を受けることを前提とした、従来のセキュリティの考え方とは異なる新しいセキュリティソリューションです。

マイクロソフトでは、EDR製品としてDefender for Endpointを提供しており、マイクロソフトに蓄積された膨大なセキュリティ情報を専門チームで解析することで独自性を出しています。

本記事では、EDRの考え方と、Defender for Endpointの概要やライセンス体系、主な機能について解説します。

1. EDRとは

企業のネットワークにつながるサーバー・PC・タブレットなどの端末は、エンドポイントと呼ばれて常にサイバー攻撃の脅威にさらされています。まず、EDRの考え方と、EDRと関係が深いゼロトラストモデルについて解説します。

EDRとは

EDR(Endpoint Detection and Response)とは、ユーザーが利用するパソコンやサーバー、タブレットなどの「エンドポイント」における不審な動作・挙動を検知し、迅速な対応を支援するソリューションです。

エンドポイントの状況および通信内容などを常時監視し、異常や不審な挙動があれば管理者への通知を行う機能を備えています。管理者は通知を受けた後、EDRで取得されたエンドポイントのログを分析し必要な対策を講じます。
EDRは、サイバー攻撃を未然に防止するというよりは、エンドポイントがサイバー攻撃を受けることを前提として、検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としたセキュリティソリューションです。

EDRとゼロトラストモデル

EDRが注目される背景として、既存のセキュリティソリューションではサイバー攻撃を完全に防ぎきることが難しいという状況があります。そのため、サイバー攻撃を阻止するだけでなく、内部に侵入された場合を想定し、迅速な対応によって被害の拡大を防ぐことを目的としたEDRが注目されています。

従来のセキュリティの考え方では、社内ネットワークは保護されているという前提で、重要な情報資産を配置し、社外からの境界に対してファイアーウォールやIDS・IPS等のセキュリティ対策を施すことが一般的でした。しかし、昨今のクラウド利用やリモートワークの普及・増加に伴い、情報資産は社内ネットワークとインターネット上に分散して配置され、社内ネットワークへのアクセス方法も多様化したことにより、境界が曖昧となっています。

そこで、「全てのアクセスを信用しない」ことを前提とした、従来と異なる「ゼロトラスト」と呼ばれるセキュリティの考え方が広まっています。EDRも、ゼロトラストを実現するためのソリューションの1つと言えます。

2. Defender for Endpointとは

EDR製品はさまざまな製品ベンダーにより提供されていますが、マイクロソフトではどのような製品を提供しているのでしょうか。ここでは、マイクロソフトのEDR製品であるDefender for Endpointの概要とライセンス体系について解説します。

Defender for Endpointの概要

Microsoft Defender for Endpoint(旧:Microsoft Defender ATP)は、マイクロソフトが提供しているクラウドベースのEDR製品です。Windows 10に標準コンポーネントとして組み込まれており、世界中のWindows10端末から収集された膨大なセキュリティ情報をマイクロソフト社のセキュリティスペシャリストによる分析を行っており、最新の脅威に対しても信頼性の高い対策を講じることが可能な製品となっています。

Defender for Endpointの特徴

Defender for Endpointの特徴は下記の通りです。

OS標準搭載

Defender for Endpoint はWindows10標準搭載となっています。Windows10に組み込まれた動作センサーにより、OSからの動作シグナルを収集して処理し、セキュリティイベントやエンドポイントの不審な挙動を記録します。OS標準搭載であるためエージェントも不要です。

クラウドベースのセキュリティ分析が可能

マイクロソフトの堅牢なクラウドで蓄積している膨大なデータやAIによる分析結果を活用し、エンドポイントの挙動に対して、高度な洞察、検出、推奨される対策の導出を行っている点も大きな特徴です。クラウドベースであるため、別途サーバーの用意などは不要です。

脅威インテリジェンス

Windows OSは世界中で利用されており、日々膨大なセキュリティ情報がマイクロソフトに蓄積されています。そのデータを専門のセキュリティチームにより継続的に調査・分析を行うことでDefender for Endpointのセキュリティ分析機能へフィードバックしており、最新の脅威に対しても信頼性の高い対応を取っています。

Defender for Endpointのライセンス体系

Defender for Endpointのライセンスは下記の種類があります。

  • Microsoft Defender for Endpoint Plan1
  • Microsoft Defender for Endpoint Plan2
  • Microsoft Defender for Business

Microsoft Defender for Endpoint Plan1

Defender for Endpointの大企業向けプランです。マルウェア対策とウイルス対策を含む「次世代の保護」や、「攻撃面の減少」などの基本的な機能が利用可能です。

Microsoft Defender for Endpoint Plan2

こちらもDefender for Endpointの大企業向けプランです。プラン1に加え、デバイス検出、脅威と脆弱性の管理・分析、自動調査など高度な機能が利用可能となっています。

Microsoft Defender for Business

Defender for Endpointの中小企業版(300ユーザー以下)です。

3. Defender for Endpointの主な機能

Defender for Endpoint は、EDR製品として多くの機能を備えています。ここでは、Defender for Endpointの主な機能について解説します。

脅威と脆弱性の管理

脅威と脆弱性の管理(Threat & Vulnerability Management)とは、リスクベースのアプローチを使用してエンドポイントの脆弱性や構成ミスの検出、優先順位付け、および修復を行う機能です。

攻撃面の減少

攻撃面の減少(Attack Surface Reduction)は、組織のデバイスとネットワークを保護することで、攻撃対象を減らす機能です。下記のような特定のソフトウェアの動作・挙動を防止します。

  • ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
  • 難読化された、またはその他の疑わしいスクリプトの実行
  • 日常的な作業中に通常では発生しないアプリの動作

次世代の保護

次世代の保護(Next Generation Protection)とは、ウイルスなどのマルウェアからデバイスを保護するための機能です。従来型のマルウェアだけでなく、最新のマルウェアに対しても迅速に対応・保護できるよう、AIを活用したクラウドベースの保護機能となっています。

エンドポイントでの検出と対応

エンドポイントでの検出と対応(Endpoint Detection and Response)とは、エンドポイントにおける不審な動作・挙動を検知し、アラートを出力する機能です。この機能により、管理者は脅威への総合的な調査や対応が可能となります。

調査と修復の自動化

調査と修復の自動化(Auto Investigation and Remediation)とは、さまざまな検査アルゴリズムを使用し、アラートに対して自動で調査・修復を試みる機能です。アラート出力をトリガーとして、自動で調査が開始されます。調査の結果、脅威の有無が評価され、評価結果に基づいてファイルの検疫などのアクションが自動で実行されます。

マイクロソフト脅威エキスパート

マイクロソフト脅威エキスパート(Microsoft Threat Experts)とは、マイクロソフトのセキュリティ運用センター (SOC) に専門家レベルの監視と分析を提供し、固有の環境における重大な脅威を見逃さないように管理された脅威検出サービスです。

4. まとめ

サイバー攻撃の手法は年々高度化・多様化しており、攻撃を未然に防止することが難しくなっています。そのような状況で次世代のセキュリティ対策であるEDRが注目されています。EDRは多くの製品ベンダーから提供されていますが、製品の特長を掴み、自社のポリシーに合った製品を選ぶことが重要です。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azureセキュリティ Defender for Endpoint

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php