03-5946-8400
HOME
目次
多様化するサイバー攻撃への効果的な対策とは?次世代のセキュリティについて解説
サイバー攻撃の手法は年々高度化しています。標的型攻撃など巧妙な手口の攻撃が増えており、従来のセキュリティ製品だけでは対応が難しいケースが増えています。
そのような状況下で注目を集めているのが EDR です。EDR とは、ユーザーが利用するパソコンやタブレットなどの端末がサイバー攻撃を受けることを前提とした、従来のセキュリティの考え方とは異なる新しいセキュリティソリューションです。
マイクロソフトでは、EDR 製品として Defender for Endpoint を提供しており、マイクロソフトに蓄積された膨大なセキュリティ情報を専門チームで解析することで独自性を出しています。
本記事では、EDR の考え方と、Defender for Endpoint の概要やライセンス体系、主な機能について解説します。
- よくあるお悩み:
- 導入した Azure 環境に、適切なセキュリティ対策が施されているかわからない
- システムへのアクセスをコントロールしたいが、適切な方法がわからない このようなお悩みを解決するサービスはこちら。>> Azure セキュリティ対策サービス
1. EDR とは
企業のネットワークにつながるサーバー・ PC ・タブレットなどの端末は、エンドポイントと呼ばれて常にサイバー攻撃の脅威にさらされています。まず、EDR の考え方と、EDR と関係が深いゼロトラストモデルについて解説します。
EDR とは
EDR( Endpoint Detection and Response )とは、ユーザーが利用するパソコンやサーバー、タブレットなどの「エンドポイント」における不審な動作・挙動を検知し、迅速な対応を支援するソリューションです。
エンドポイントの状況および通信内容などを常時監視し、異常や不審な挙動があれば管理者への通知を行う機能を備えています。管理者は通知を受けた後、EDR で取得されたエンドポイントのログを分析し必要な対策を講じます。EDR は、サイバー攻撃を未然に防止するというよりは、エンドポイントがサイバー攻撃を受けることを前提として、検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としたセキュリティソリューションです。
EDR とゼロトラストモデル
EDR が注目される背景として、既存のセキュリティソリューションではサイバー攻撃を完全に防ぎきることが難しいという状況があります。そのため、サイバー攻撃を阻止するだけでなく、内部に侵入された場合を想定し、迅速な対応によって被害の拡大を防ぐことを目的とした EDR が注目されています。
従来のセキュリティの考え方では、社内ネットワークは保護されているという前提で、重要な情報資産を配置し、社外からの境界に対してファイアーウォールや IDS ・ IPS 等のセキュリティ対策を施すことが一般的でした。しかし、昨今のクラウド利用やリモートワークの普及・増加に伴い、情報資産は社内ネットワークとインターネット上に分散して配置され、社内ネットワークへのアクセス方法も多様化したことにより、境界が曖昧となっています。
そこで、「全てのアクセスを信用しない」ことを前提とした、従来と異なる「ゼロトラスト」と呼ばれるセキュリティの考え方が広まっています。EDR も、ゼロトラストを実現するためのソリューションの 1 つと言えます。
- Azureセキュリティでよくあるお悩み:
- Microsoft が提唱するゼロトラストセキュリティの構成要素についてご紹介
- Azureを安全に利用するために必要なセキュリティ対策とは?
2. Defender for Endpoint とは
EDR 製品はさまざまな製品ベンダーにより提供されていますが、ここでは、マイクロソフトの EDR 製品である Defender for Endpoint の概要とライセンス体系について解説します。
Defender for Endpoint の概要
Microsoft Defender for Endpoint(旧: Microsoft Defender ATP )は、マイクロソフトが提供しているクラウドベースの EDR 製品です。Windows 10 に標準コンポーネントとして組み込まれており、世界中の Windows 10 端末から収集された膨大なセキュリティ情報をマイクロソフト社のセキュリティスペシャリストによる分析を行っており、最新の脅威に対しても信頼性の高い対策を講じることが可能な製品となっています。
Defender for Endpoint の特徴
Defender for Endpoint の特徴は下記の通りです。
OS 標準搭載
Defender for Endpoint は Windows 10 標準搭載となっています。Windows 10 に組み込まれた動作センサーにより、OS からの動作シグナルを収集して処理し、セキュリティイベントやエンドポイントの不審な挙動を記録します。OS 標準搭載であるためエージェントも不要です。
クラウドベースのセキュリティ分析が可能
マイクロソフトの堅牢なクラウドで蓄積している膨大なデータや AI による分析結果を活用し、エンドポイントの挙動に対して、高度な洞察、検出、推奨される対策の導出を行っている点も大きな特徴です。クラウドベースであるため、別途サーバーの用意などは不要です。
脅威インテリジェンス
Windows OS は世界中で利用されており、日々膨大なセキュリティ情報がマイクロソフトに蓄積されています。そのデータを専門のセキュリティチームにより継続的に調査・分析を行うことで Defender for Endpoint のセキュリティ分析機能へフィードバックしており、最新の脅威に対しても信頼性の高い対応を取っています。
Defender for Endpoint のライセンス体系
Defender for Endpoint のライセンスは下記の種類があります。
- Microsoft Defender for Endpoint Plan1
- Microsoft Defender for Endpoint Plan2
- Microsoft Defender for Business
Microsoft Defender for Endpoint Plan1
Defender for Endpoint の大企業向けプランです。マルウェア対策とウイルス対策を含む「次世代の保護」や、「攻撃面の減少」などの基本的な機能が利用可能です。
Microsoft Defender for Endpoint Plan2
こちらも Defender for Endpoint の大企業向けプランです。プラン1に加え、デバイス検出、脅威と脆弱性の管理・分析、自動調査など高度な機能が利用可能となっています。
Microsoft Defender for Business
Defender for Endpoint の中小企業版( 300 ユーザー以下)です。
3. Defender for Endpoint の主な機能
Defender for Endpoint は、EDR 製品として多くの機能を備えています。ここでは、Defender for Endpoint の主な機能について解説します。
脅威と脆弱性の管理
脅威と脆弱性の管理( Threat & Vulnerability Management )とは、リスクベースのアプローチを使用してエンドポイントの脆弱性や構成ミスの検出、優先順位付け、および修復を行う機能です。
攻撃面の減少
攻撃面の減少( Attack Surface Reduction )は、組織のデバイスとネットワークを保護することで、攻撃対象を減らす機能です。下記のような特定のソフトウェアの動作・挙動を防止します。
- ファイルのダウンロードまたは実行を試みる実行可能ファイルとスクリプトの起動
- 難読化された、またはその他の疑わしいスクリプトの実行
- 日常的な作業中に通常では発生しないアプリの動作
次世代の保護
次世代の保護( Next Generation Protection )とは、ウイルスなどのマルウェアからデバイスを保護するための機能です。従来型のマルウェアだけでなく、最新のマルウェアに対しても迅速に対応・保護できるよう、AI を活用したクラウドベースの保護機能となっています。
エンドポイントでの検出と対応
エンドポイントでの検出と対応( Endpoint Detection and Response )とは、エンドポイントにおける不審な動作・挙動を検知し、アラートを出力する機能です。この機能により、管理者は脅威への総合的な調査や対応が可能となります。
調査と修復の自動化
調査と修復の自動化( Auto Investigation and Remediation )とは、さまざまな検査アルゴリズムを使用し、アラートに対して自動で調査・修復を試みる機能です。アラート出力をトリガーとして、自動で調査が開始されます。調査の結果、脅威の有無が評価され、評価結果に基づいてファイルの検疫などのアクションが自動で実行されます。
マイクロソフト脅威エキスパート
マイクロソフト脅威エキスパート( Microsoft Threat Experts )とは、マイクロソフトのセキュリティ運用センター ( SOC ) に専門家レベルの監視と分析を提供し、固有の環境における重大な脅威を見逃さないように管理された脅威検出サービスです。
4. まとめ
サイバー攻撃の手法は年々高度化・多様化しており、攻撃を未然に防止することが難しくなっています。そのような状況で次世代のセキュリティ対策である EDR が注目されています。EDRは多くの製品ベンダーから提供されていますが、製品の特長を掴み、自社のポリシーに合った製品を選ぶことが重要です。
Azure セキュリティについて相談する
Azure セキュリティ対策サービス
Azure 環境に対する、Azure Security Center を利用したセキュリティ対策の評価と対策のご提示、ユーザーごとの適切な権限と条件付きアクセスポリシーの定義、シングルサインオンの導入計画の策定などを行います。
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
よく読まれる記事
- 1 Visual Studio Code とは?柔軟で効率的なアプリ開発の方法と、Visual Studio との違いを解説2023.05.23
- 2 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 5 Azure AD Connectとは?オンプレミスとクラウドの両方で使えるアカウント管理ツール2021.06.02
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。