ITキーワード

Windows Defender ATP とは?機能や導入方法について解説

Windows Defender ATP は、Windows 以外のプラットフォームでも利用できるようになったため、現在は「Microsoft Defender ATP」に名称が変わりました。

Microsoft Defender ATP のような EDR は今後のセキュリティ対策で重要なツールといえるでしょう。この記事ではセキュリティ対策に不安がある方に向けて、Microsoft Defender ATP とは何か、その機能やメリット、使い方について詳しく解説します。
自社のセキュリティ対策を強化するための参考にしてください。

Microsoft Defender ATP とは?

Microsoft Defender ATP は、近年注目が集まっている EDR 製品で、エンドポイント(パソコンやサーバーなど利用者の端末)がサイバー攻撃を受けた場合の被害を最小限に抑えることを目的としています。

Windows Defender ATP のころは Windows にしか対応していませんでした。しかし、Microsoft Defender ATP となったことで、Windows 以外からも利用できます。

エージェントの導入や管理が不要でかつクラウドベースのため、サーバーが不要な点が他のサービスと比べたときの特長です。

マイクロソフトの専門チームによって、脅威情報の共有・調査を行っており、様々な脅威に対してこの EDR が一つあれば対応できます。

どのようなことを目的に導入されるか

Microsoft Defender ATP は、パソコンやサーバーなどのエンドポイントに対するセキュリティ強化を目的に導入されます。

社内ネットワークに対しマルウェアが侵入すると、個人情報の流出など問題が深刻化する可能性が高くなります。Microsoft Defender ATP はそのような事態に発展する前にマルウェアやウイルスをいち早く検知、除去を行います。

事後対応も効率的かつ迅速に行うことが可能です。近年マルウェアの侵入を100%防ぐのは不可能とされています。そのため、事前の対策に加え、事後被害を広げないための対策が重要視されているのです。

EDR とは?

EDR はパソコン、パソコンやサーバーなど、利用者が使っているエンドポイントの監視を強化するためのソフトウェアです。

ウイルスをブロックするのではなく、ランサムウェアや標的型攻撃のようなサイバー攻撃を検知する監視が主な機能です。パソコンやサーバーの状況や通信内容を監視し、異常事態や不審な挙動を検知し、管理者への通知を行います。

ハッキング活動を完全に予防するのは難しくなっています。そのため、ハッキング活動を監視し、ハッキングされた場合の対処を迅速に行うことが重要視されてきました。

EDR は機能や契約・導入形態によりさまざまな製品があるため、目的や使い勝手、既存環境に与える影響などを踏まえて導入ソフトを選定する必要があります。

EDR の仕組み

EDR はパソコンやサーバーでマルウェアやランサムウェアによる不審な動きがないか確認しています。エンドポイントにエージェントソフトウェアを導入することで、ログの情報を常時取得、分析処理が可能です。

サイバー攻撃の疑いを含む攻撃を受けた場合、管理者に対して迅速な通知を行います。ログ情報を調べ、原因や影響範囲が分析可能なため、分析や調査の結果をもとに、対処できます。

分析内容の可視化やログ情報を複数の角度から分析する機能を持つものもあります。

EDR の必要性

EDR が注目を集めているのは、既存のやり方、マルウェアの侵入やウイルス感染を防ぐ方法に限界があるためです。近年のサイバー攻撃は手口が非常に巧妙かつ高度なため、100%サイバー攻撃を防ぐことは非現実的になってきています。

ウイルス対策がいかに万全でも、EDR による対策がない場合、ウイルスに侵入されると、大きな被害がもたらされてしまいます。

EDR が導入されることで、マルウェアによる攻撃があったとしても、いち早く検知し、対策を取りやすくなるため、被害を最小に抑えることができるのです。

Microsoft Defender ATP の機能・特長

Microsoft Defender ATP は EDR の中でも多くの注目を集めています。ここではクラウドセキュリティ分析、脅威インテリジェンス、統合管理の3つの機能・特長について解説します。
自社に導入する前に理解を深めておきましょう。

クラウドセキュリティ分析

クラウドセキュリティ分析とは、マイクロソフトのビッグデータや機械学習とマイクロソフトチームの高い分析力による分析です。

Office 365 などの製品や Windows のエコシステムなどをオンラインで活用、エンドポイントのデータと組み合わせて、異常な挙動を検知します。

クラウドベースのため、サーバーを準備する必要もありません。

脅威インテリジェンス

マイクロソフトは脅威情報を継続的に調査しているため、膨大なセキュリティ情報を集約することができます。使用者が多い Windows のセキュリティ情報を集約し、他の会社では集められない量の情報が集まっています。

それらの情報に対し、マイクロソフトの専門チームが常時監視を行い、Defender ATP に反映しているため、常に最新の脅威に対しての対策が行われています。セキュリティ情報はいち早く反映され、攻撃者の使用ツールや手法、手順を特定し、高い検知精度と迅速な通知アラートを発信しています。

統合管理

統合管理とは、マイクロソフトのさまざまなセキュリティ製品と連携して、総合的に監視・管理ができる機能です。

クラウド上のダッシュボードでは、ネットワークからそれぞれの端末のセキュリティ状況を、グラフなどを使いながら可視化します。

ウイルスに感染した疑いがある場合は、Microsoft Defender ATP の画面からウイルススキャンの実行も可能です。

統合管理により、セキュリティ対策ソフトがそれぞれつながっているため、スムーズな操作が行えます。

Microsoft Defender ATP の自社運用に不安がある場合

Microsoft Defender ATP は優れた製品であるのは間違いないでしょう。しかし、導入して終わりではなく、実際に運用し、問題があった場合に対処できる体制を作るなど運用方法まで考える必要があります。

自社に専門知識がなく、運用できる人材がいない場合もあるでしょう。運用面に不安を抱えている場合には、運用サービスの利用がおすすめです。

マルウェアの侵入など利用者にとって好ましくない事態が起きた場合でも、素早く対処を行い、感染被害を最小限に留められます。セキュリティ対策で大切な、現状把握・インシデント発生時の調査・対応にかかる時間を大幅に短縮できるため、被害を最小限に抑えることができます。

まとめ

Microsoft Defender ATP について、EDR でできるセキュリティ対策について解説しました。EDR を導入することで、ウイルスやマルウェアの侵入をいち早く感知し、企業の被害を最小限に抑えられます。

SBテクノロジーの EDR セキュリティ監視サービス「MSS for EDR」はさまざまな EDR 製品に対応したセキュリティ監視サービスです。

経験豊富なセキュリティ専門アナリストが、豊富なノウハウを活かしてユーザーのシステムを守ります。システム管理は SBテクノロジーが行うため、ユーザーへの負担も大幅に少なくなります。EDR の導入を検討中の場合は、ぜひ資料をご請求ください。