本文へ移動します

クラウドエンジニアブログ

Microsoft のエンドポイントセキュリティ製品(Microsoft Defender for Endpoint)の導入事例(2/2)

曽根 康弘

こんにちは。Microsoft 365 のデバイスとアプリ管理機能の導入を担当している曽根です。
前回に引き続きMicrosoft エンドポイントセキュリティの導入事例についてご紹介をさせていただきます。
今回は、弊社の社内導入事例のご紹介となります。

前回の記事は以下を参照してください。
Microsoft のエンドポイントセキュリティ製品(Microsoft Defender for Endpoint)の導入事例(1/2)- 新規端末編



導入事例

前回の記事では、新規 PC に対する Microsoft エンドポイントセキュリティ製品の導入をご紹介しました。
本記事では、既存の社給 PC、VDI 端末、サーバーの移行を含めた社内導入事例についてご紹介します。

この導入事例の規模はユーザー数が約 1,000 名、対象端末は Windows10 端末が約 1,900 台、VDI 端末が約 900 台、サーバーが約 90 台となり、導入を開始するまでの期間は約 4 か月でした。

 

導入に至った背景

2020 年 4 月に 全従業員のマイクロソフトライセンスを Microsoft 365 E5 ライセンス (以降M365 E5) にアップグレードしました。
既存利用サービスにおいて M365 E5 製品と重複するサービスが存在することから、重複サービスを廃止し M365 E5 製品への切り替えを行うことで、重複するサービスの利用料および保守費用を削減することが目的でした。

 

導入によるメリット

Microsoft エンドポイントセキュリティを導入したことにより以下 4 つの効果を期待していました。

  • コストメリット
  • 異常検知時の迅速な対応
  • EDR の監視 / 保守の柔軟化
  • Defender 機能の一元管理

以下に各効果の詳細を記載します。

 

コストメリット

M365 E5 ライセンスには EDR 機能である MDfE の利用権が含まれているため、既存製品と切替え、不要なライセンスを削減したことで、既存 EDR 製品は年間約 500 万円、既存 EPP 製品は年間約 80万円の計 580 万円程度のコストを削減することができました。


異常検知時の迅速な対応

既存ウイルス/マルウェア対策製品はオンプレミスサーバーであるため、脅威を検知した情報の確認は、社内で管理画面に接続する必要がありましたが、クラウドサービスに切替えたことにより、社外でも確認することが可能となりました。

また、運用は情シスのみの体制でしたが、SBT の Computer Security Incident Response Team (CSIRT) および MSS for EDR を体制に組み込んだことで、異常を検知した際の対応がより早く精度の高いものとなりました。


EDR の監視 / 保守の柔軟化

他ベンダーの MSS から弊社の MSS for EDR への移行に伴い、異常検知後の対応範囲を見直しました。切替え前は異常検知時に MSS からメール通知のみの対応でしたが、状況に応じて対象端末のネットワーク遮断や検知されたファイルの実行制御を行い、併せてインシデント内容の把握と解析を行うことが可能となりました。


異常デバイスのネットワーク遮断

切替え前は、EDR 製品で異常を検知した際に対象端末のネットワークを強制遮断することができませんでしたが、移行後は MDfE の機能により異常を検知した端末の強制遮断が可能となりました。このネットワーク遮断の機能により、ウイルス/マルウェアが他の端末に感染することを防止することができます。
また、Outlook および Teams の利用のみを可能とした状態で他ネットワーク通信を遮断することもできるため、対象者がテレワークであっても、感染した端末の利用者とリアルタイムに会話をして状況確認を行い、対応策を伝えることにより速やかに脅威を排除することも可能となりました。


Defender 機能の一元管理

Microsoft 365 Defender ポータル(以下M365Defenderポータル)と呼ばれる管理画面では、各 Defender 製品による電子メール、コラボレーション、ID、デバイス、アプリの脅威に対する保護、検出、調査、および応答を一元的に管理できます。これにより既存ウイルス / マルウェア対策製品の管理画面と同等の一元管理を行うことができ、将来的に導入が想定される Defender 機能の一元管理も可能となりました。

M365Defender ポータルへのログインは Azure AD アカウントを利用するため、製品ごとのアカウント管理が必要無くなり、アカウント管理工数が減少。また、クラウドサービスであるため、社外から VPN を利用せずにインターネット経由で管理画面にアクセスすることが可能となり、ウイルス / マルウェア検知時の対応速度が向上しました。

 

移行対象

移行対象は、既存のウイルス / マルウェアおよび EDR 製品がインストールされている社給 PC、VDI 端末、サーバーが対象となります。


ウイルス / マルウェア製品

既存のウイルス / マルウェアおよび EDR 製品


端末とサーバー

種別 OS 台数 更新方法 設定管理
社給 PC Windows 10 1,900 台 MECM MECM
VDI 端末 (Citrix Cloud) Windows 10 825 台 MECM MECM
VDI 端末 (Azure Virtual Desktop) Windows 10 70 台 WSUS GPO
サーバー Windows Server 2019 90 台 Windows Update GPO
Windows Server 2016 Windows Update GPO
Windows Server 2012 R2 Windows Update GPO
Windows Server 2008 R2 SP1 Windows Update GPO

Microsoft Endpoint Configuration Manager (略称:MECM)
Group Policy Objects (略称:GPO)
Windows Server Update Services (略称:WSUS)

 

MDfE / MDAV の設計

MDfE/MDAVの設計はMDAVの設定およびマルウェア定義ファイルの更新を行うために利用するツールを検討し、ツールに応じた設定方法を検討する必要があります。また、MDfE にて端末やサーバーを管理するためのオンボード方法の検討も必要となります。
本章では、MDAVの設定およびマルウェア定義ファイルの更新、MDfEのオンボード方法の検討結果について記載します。


MDAV 設定

MDAV の設定方法は以下の種類が存在します。

  • GPO
  • Microsoft Intune
  • MECM
  • サードパーティ製構成管理ツール

弊社の社給 Windows 端末は MECM により管理されています。

通常、MECM 管理下の Windows 端末は Intune で管理することはできませんが、MECM の共同管理機能を導入したことで Intune による管理を可能としています。

~共同管理とは~

将来オンプレミスサーバーを維持するためのコスト削減を目的としているため、クラウドベースの管理に集約していく意向があります。
そのため、Intune 管理下の端末に対しては、Intune の構成プロファイルを利用して配信し、Intune を利用できない端末やサーバーについては GPO を利用して配信しました。
サーバーに対する MDAV の設定は、Windows Server 2008 R2 SP1 および 2012 R2 では MDAV が利用できないため、System Center Endpoint Protection(SCEP)というツールを個別にインストールし、設定しました。
Windows Server 2016 および 2019 については MDAV が利用できるため、SCEP は不要でした。

~MDfE による WindowsServer の保護と MDAV が利用可能なサーバー~ 

現在、Windows Server 2008 R2 はサポートが終了しているため、Windows Server 2012 R2 以降がサポート対象となっています。

~Windows Server 上の Microsoft Defender ウイルス対策~ 


MDAV マルウェア定義ファイルの更新管理

MDAV のマルウェア定義ファイルの更新については以下 3 つの機能を利用した対応を実施しました。

  • MECM
  • WSUS
  • Windows Update(インターネット経由)

MECM 管理下の端末については、MECM の自動展開規則に [Windows Defender ウイルス対策] を追加することで更新を可能としました。

WSUS 管理下の端末については、WSUS の更新対象の製品に [Windows Defender ウイルス対策] を追加することで更新を可能としました。

~ダウンロードするマルウェア定義を有効にする~

Windows Update を利用しているサーバーについては、すでに自動更新する設定がされていたため、特別な対応は実施せずに更新が可能となりました。


MDfE オンボード

MDfE にてデバイスを管理するためには、対象デバイスに MDfE のセンサーをインストールし、MDfE にデバイスを認識させる必要があります。これを MDfE へのオンボードと呼びます。

オンボードには環境に応じた展開を考慮した以下のツールが提供されています。

  • ローカルで手動実行するためのツール(検証用)
  • GPO で展開するためのツール
  • MECM で展開するためのツール
  • Intune で展開するためのツール
  • VDI 端末に対して展開するためのツール

検証用にローカルで手動実行するためのツールが提供されていますが、MECM で展開するためのツールを手動実行してもオンボードすることが可能でした。


既存の Windows 端末についてはツールの手動実行を行い、移行期間内に切替えが完了しない端末については、MECM にてツールを強制実行する方針としました。詳しくは展開の章にて説明します。

サーバーのオンボードは Windows Server 2008 R2 SP1 と Windows Server 2012 R2 以降のみ可能で、それ以外は利用できませんでした。

現在(2022年2月時点)では、Windows Server 2012 R2 以降のみがサポート対象となっています。

~Windows Server の MDfE へのオンボード~

SCEP が必要なサーバーの場合、MDAV でウイルス/マルウェアを検知しても MDfE には通知されませんが、MDfE のオンボードを実施することによりマルウェアの検出や悪意のある可能性のあるファイルや疑わしいマルウェアを禁止するなどの EDR の機能を利用することができました。

~以前のバージョンの Windows をオンボードする~(Windows Server 2008 R2 SP1 以前)

 

MDfE/MDAV の展開

本章では、スクリプトを利用したMDfE および MDAVの展開の検討、ユーザーによる手動実行から強制実行にいたるまでの経緯や流れについて記載します。また、非永続型VDI 端末の展開については、同一ホスト名の端末が複数オンボードされないよう考慮が必要であったため、その検討結果についても記載しています。

MDfE/MDAVの展開方法

移行は以下の流れを自動実行できるスクリプトを作成し、実行することで切替えを行いました。
「3.」と「4.」を逆にすることを検討しましたが、MS サポートより既存 EDR 製品がインストールされた状態での MDfE へのオンボードは動作保証できないとの回答を受けたため以下の流れとしました。

  1. 既存ウイルス対策製品のアンインストール
  2. Microsoft Defender の有効化
  3. 既存 EDR 製品のアンインストール
  4. Microsoft Defender for Endpoint へのオンボード

スクリプトの実行中にエラーが発生した場合、エンドポイントセキュリティ製品が未インストールの状態となる可能性があったため、基本はユーザーに直接実行いただき、切替えを実施しました。

Microsoft 365 Defender ポータル上でオンボードの状況を定期的に確認し、指定した期間内に切替えが完了していない端末については、MECM にてスクリプトを配信し強制的に切替えを実施しました。

MECM 管理対象外の端末やサーバーについては、GPO のログインスクリプトでの強制実行を検討していましたが、手動実行のみで完結しました。

全社展開までの準備期間は 4 か月程度、展開の完了に 3~4 か月程度かかりました。

その他考慮事項

VDI 端末にはユーザーがログインするたびに再作成されるもの(非永続型)がありました。
この非永続型 VDI 端末は起動するたびに新たに MDfE にオンボードされるため、MDfE の管理画面上に大量の端末がオンボードされることとなります。
以下 Microsoft の Docs に記載のある「デバイスごとに 1 つのエントリの場合」の手順を実施することで、同一の VDI 端末が再作成された場合にオンボードされないように VDI のマスタイメージを構成しました。

~VDI デバイスの MDfE へのオンボード~

 

導入後の運用

既存 EDR 製品ベンダーの MSS サービスを利用していましたが、Microsoft エンドポイントセキュリティに切り替えるとともに 弊社 の MSS for EDR に切り替えました。
それにより 24h365日 の監視運用と検知後のデバイスのネットワーク遮断やユーザーへの連絡と対応の管理まで行うことができるようになり、セキュリティレベルが向上しました。

MSS for EDR の詳細は以下の URL をご参照ください。

~EDR のセキュリティ監視サービス - MSS for EDR~
~「マネージドセキュリティサービス(MSS)」に関連する導入事例~
~セキュリティ対策における SOC とは?CSIRT や MSS との違いや導入メリットを解説~

 

まとめ

Intune と GPO の 2 つの機能を利用し、Windows 端末だけでなくサーバーや VDI 端末に対して Microsoft エンドポイントセキュリティの展開および設定を行った、社内導入事例についてのご紹介でした。
当初は情報が少なく、Intune と GPO の両方で同じ設定を行うための確認に時間を要しました。
また、攻撃面を減少させる設定を行うとマクロが動かなくなるなど、業務に影響を与える可能性がある機能も存在します。それらの機能については、一部の端末にのみ設定を適用し、動作確認を行ったうえで導入を検討するなど考慮が必要な機能もあるため、注意が必要です。

本記事では、MDfE および MDAV の機能の詳細については記載をしていないため、次回は MDfE および MDAV の機能を紹介することを考えています。

最後まで読んでいただきありがとうございました。

関連ページ

Microsoft のエンドポイントセキュリティ製品(Microsoft Defender for Endpoint)の導入事例(1/2)- 新規端末編
Microsoft Defender for Endpoint(旧製品名 Windows Defender ATP)とは?機能や導入方法について解説
「ゼロトラストセキュリティ スターターパック」のサービス詳細はこちら
「ゼロトラストセキュリティ スターターパック」の資料請求・お問い合わせはこちら
「MSS for EDR」のサービス詳細はこちら
「MSS for EDR」の資料請求・お問い合わせはこちら

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
NOZ
メールマガジン登録