こんにちは。Microsoft 365 のデバイスとアプリ管理機能の導入を担当している曽根です。
本記事では、企業の ID、メール、およびアプリケーション全体を保護するための Microsoft 365 Defender サービスに含まれる、Microsoft のエンドポイントセキュリティ製品である Microsoft Defender for Endpoint (以降、MDfE)および Microsoft Defender ウイルス対策(以降、MDAV)の導入事例についてご紹介します。
今回は新規端末への導入事例となります。既存端末の移行を含めた導入事例については次回の記事にてご紹介する予定です。
Microsoft エンドポイントセキュリティ製品は、一時期、その性能に疑問を持たれる時期がありましたが、積極的な投資の結果、他社製品と同等以上の性能を誇る製品に成長したと言われています。ガートナー社のマジッククアドラントでは、エンドポイント保護プラットフォームの最高位に位置付けられています。
【参考】
~ガートナーがマイクロソフトを2021年のエンドポイント保護プラットフォームのマジッククアドラントのリーダーに指名~
Microsoft Defender エンドポイントセキュリティ製品の新規端末への導入事例をご紹介します。
この導入事例の規模はユーザー数が約4000名、対象デバイスは Windows10 デバイスが約5,500台となり、導入を開始するまでの期間は約5か月でした。
この導入事例のお客様では、Microsoft 365 E5 ライセンスを購入する予定があり、ライセンスを有効活用しコスト削減を図るため、現在利用しているウイルス / マルウェア製品 から MDfE および MDAV への切り替えを検討する運びとなりました。
現在利用しているウイルス / マルウェア製品 から MDfE および MDAV への切り替えにより以下 3つの効果を期待していました。
以下に各効果の詳細を記載します。
既存ウイルス / マルウェア対策製品のバージョンが古く保護力が低い状態であったため、Microsoft のエンドポイントセキュリティ製品に切り替えたことにより最新の脅威を検知、保護する力を向上させることができました。
Microsoft 365 E5 ライセンスには Microsoft Defender ウイルス対策 / EDR機能の利用権が含まれているため、現行製品から切り替え、不要なライセンスを削減したことで、既存 EDR 製品は年間約200万円、既存 EPP 製品は年間約420万円の計620万円程度のコストを削減することができました。
Microsoft 365 Defender ポータル(以下 M365Defender ポータル)と呼ばれる管理画面では、各 Defender 製品による電子メール、コラボレーション、ID、デバイス、アプリの脅威に対する保護、検出、調査、および応答を一元的に管理できます。これにより既存ウイルス / マルウェア対策製品の管理画面と同等の一元管理を行うことができ、将来的に導入が想定される Defender 機能の一元管理も可能となりました。
M365Defender ポータルへのログインは Azure AD アカウントを利用するため、製品ごとのアカウント管理が必要無くなり、アカウント管理工数が減少。また、クラウドサービスであるため、社外から VPN を利用せずにインターネット経由で管理画面にアクセスすることが可能となり、ウイルス / マルウェア検知時の対応速度が向上しました。
セキュリティ製品の切り替えで最初に課題となるのが、セキュリティレベルが低下しないかということです。今回は、以下の工程を経て、既存のウイルス / マルウェア対策製品の設定値と MDfE / MDAV の設定値を比較し、評価しました。
左右にスクロールしてご覧ください。
| 工程 | 確認内容 | |
|---|---|---|
| 1 | 要件の確認 |
|
| 2 | 現行環境の調査 |
|
| 3 | 機能説明 |
|
| 4 | 要件の再確認と確定 |
|
| 5 | 実装可否の調査 |
|
以下、いくつか既存製品固有の設定があり、MDfE / MDAV では設定できない項目が存在しましたが、お客様と協議の上、セキュリティレベルが低下する設定ではないとの判断に至り、導入を決定しました。
MDfE / MDAV の展開は、グループポリシー(以下GPO)、Microsoft Intune、Microsoft Endpoint Configuration Manager (以下MECM)などが利用できます。
お客様の環境では、下表の通り、オンプレミスのシステムを可能な限り廃止し、クラウド化を進めているため、クラウドのデバイス管理サービスである Microsoft Intune を利用した展開と管理者による設定の一元管理を行うこととしました。
左右にスクロールしてご覧ください。
| # | 項目 | 既存環境 | 新環境 |
|---|---|---|---|
| 1 | アカウント管理 | オンプレミス AD | Azure AD |
| 2 | OS エディション | Win 10 Pro | Win 10 Enterprise |
| 3 | OS 設定管理 | GPO | Microsoft Intune |
| 4 | ウイルス対策 | サードパーティ | MDfE /MDAV |
| 5 | アクセス制御 | ADFS クレームルール | 条件付きアクセス |
| 6 | 帯域制御 | IIS+BranchCache | 配信の最適化 |
| 7 | Win 10 更新 | WSUS | Windows Update |
| 8 | Win 10 更新管理 | WSUS | Microsoft Intune および Update Compliance |
| 9 | OS キッティング | ベンダー手動対応 | Windows Autopilot |
今回は、上記システムの移行を併せて行い、以下の工程を経て MDfE / MDAV の導入開始までに約 5 か月間かかりました。
MDfE / MDAV と既存ウイルス/マルウェア対策製品との設定値比較、Autopilot による社給 PC の自動キッティングのため 、GPO と Microsoft Intune の設定値比較を行い導入が決定するまでに2か月を要し、新システムの各種設計やマニュアル作成、構築/テストに3か月かかりました。
① MDfE / MDAV と既存ウイルス/マルウェア対策製品の設定値比較
② GPO と Microsoft Intune の設定値比較
③ MDfE / MDAV およびその他機能の導入の決定
④ 要件の再確認
⑤ 各種設計(基本、詳細、移行、運用、テスト)
⑥ 構築 / テスト
⑦ 運用マニュアルの作成
⑧ 運用引継ぎ
⑨ 受入テスト / パイロット展開
弊社のゼロトラストセキュリティスターターパックでは MDfE / MDAV のみの導入であれば1~3か月で導入することができるプランがあります。
ほとんどの攻撃は、MDfE / MDAV により自動的に保護することができますが、完全に保護できるわけではありません。
未知の脅威から保護するためにはセキュリティの専門家の知識が必要となります。社内の IT 管理部門で脅威レベルの判断や対応策の検討、24時間365日の監視が困難な場合は、ベンダーが提供する Managed Security Service(以降、MSS)を利用して監視を行う必要があります。
今回のお客様は、すでにご契約済みであった他ベンダーの MSS を継続してご利用されました。
弊社には MSS のサービスがあるため、ご興味がある企業様は一度お問い合わせください。
弊社 MSS サービスは以下のような課題を解決したい企業様にお勧めしています。
Microsoft エンドポイントセキュリティ製品の新規端末に対する導入事例の紹介は以上となります。
今回の事例では他社製品と設定値比較を行いましたが、機能差異がほとんど無く、セキュリティレベルを維持するだけでなく向上させることができ、Microsoft Intune を利用することで、展開を容易に行うことができました。
また、各種セキュリティ対策を Microsoft 製品に統合することで、ライセンス費用や管理画面の統合によるアカウント管理工数の削減にも繫がりますので、是非、Microsoft エンドポイントセキュリティ製品の導入をご検討いただければと思います。
「興味を持った。」「少し試してみたい。」という企業様向けに短期間で導入し試行することができるゼロトラストセキュリティスターターパックというサービスもございますので、お気軽に弊社までお問い合わせください。
最後まで記事を読んでいただきありがとうございました。
関連ページ
「マネージドセキュリティサービス(MSS)」に関連する導入事例はこちら |
