マイクロソフト社のブランディング方針により、マイクロソフト社の EDR 製品名称が Windows Defender ATP から Microsoft Defender for Endpoint に変更になりました。その後、Microsoft Defender for Endpoint Plan 2 に名称変更され、Microsoft Defender for Endpoint Plan 2 の機能制限版として Microsoft Defender for Endpoint Plan 1 としてリリースされました。本記事ではこの Plan 1 と Plan 2 の違いについても記述します。特に記載がない場合は Plan 1, Plan 2 共通の事項として説明します。
ランサムウェアなどのサイバー攻撃に有効である Microsoft Defender for Endpoint のような EDR は今後のセキュリティ対策で重要なツールといえるでしょう。この記事ではセキュリティ対策に不安がある方に向けて、Microsoft Defender for Endpoint とは何か、その機能やメリット、使い方について詳しく解説します。
自社のセキュリティ対策を強化するための参考にしてください。
Microsoft Defender for Endpoint とは?
Microsoft Defender for Endpoint は、エンドポイント(パソコンやサーバーなど利用者の端末)がサイバー攻撃を受けた場合の被害を最小限に抑えることを目的とした総合的なエンドポイント保護製品です。
Windows Defender ATP のころは Windows にしか対応していませんでした。しかし、Microsoft Defender for Endpoint からは、Linux や Macintosh 環境でも利用できるようになっています。
Windows OS に標準で組み込まれているため、エージェントの導入や管理が不要(※1)でかつクラウドベースのため、管理サーバーが不要な点が他のサービスと比べたときの特長です。
(※1):Linux や Macintosh はインストールが必要です。
マイクロソフトの専門チームによって、脅威情報の共有・調査を行っており、様々な脅威に対して対応できます。
どのようなことを目的に導入されるソリューションなのか
Microsoft Defender for Endpoint は、パソコンやサーバーなどのエンドポイントに対するセキュリティ強化を目的に導入されます。
社内ネットワークに対しマルウェアが侵入すると、マルウェアを送り込んだサイバー攻撃者にネットワーク内に侵入され最終的に機密情報を奪い取られ、情報流出など問題が深刻化する可能性が高くなります。Microsoft Defender for Endpoint は様々な機能により、そのような事態に発展する前にサイバー攻撃において使うツールや社内を探索する挙動、その痕跡をいち早く検知、除去を行います。仮に攻撃がすり抜けて実行されたとしても EDR の機能によりデバイス上の挙動から攻撃を検知して、サイバー攻撃の被害を最小に食い止めます。
近年マルウェアの侵入を100%防ぐのは不可能とされています。そのため、Microsoft Defender for Endpoint Plan 2 などの EDR を導入して、事前の対策に加え、事後被害を広げないための対策が重要視されているのです。
また、事後対応も効率的かつ迅速に行うことが可能です。Microsoft Defender for Endpoint Plan 2 は攻撃の痕跡を追跡することが出来るため、侵入を許した入り口を突き止めることができます。これにより、再発を防止する対策が可能になります。
「Defender for Endpoint Plan 1」と「Defender for Endpoint Plan 2」ライセンスの違い
Microsoft Defender for Endpoint は Plan 1 と Plan 2 に分かれています。
Plan 1 は基本的なセキュリティ機能をもっており、Microsoft 365 E3 と呼ばれるライセンスに含まれています。一方、Microsoft Defender for Endpoint Plan 2 は Microsoft 365 E5 ライセンスに含まれていて、EDR を中心とした高度なセキュリティ機能を持ちます。
両者の具体的な違いは次の通りです。
Microsoft Defender for Endpoint Plan 1 には以下の機能が含まれます。
- アンチマルウェアを含む次世代保護
- デバイス上の不審な動きを制御したり USB デバイス等を制御するアタックサーフェスの削減
- プロセス停止やネットワーク隔離などの手動のレスポンスアクション
- Microsoft 365 Defender での統合管理
- API 連携
- Mac / Linux / iOS / Android プラットフォーム への対応 など
Microsoft Defender for Endpoint Plan 2 には以下の機能が含まれます。
- Microsoft Defender for Endpoint Plan 1 の全機能
- EDR(※後述)
- ネットワーク内のデバイスを可視化するデバイスディスカバリ
- 各端末にインストールされたアプリやブラウザエクステンションを管理するデバイスインベントリ
- 各端末のリスクをスコアリングしてアクションが取れる脆弱性管理
- 脅威アクターと攻撃手法とそれに対する自社の耐性・影響有無をレポートする脅威分析
- アラートに対する AI ベースの自動調査&レスポンス
- すでに内部にいる脅威を探索するアドバンスト・ハンティング
- エンドポイントアタックの通知 など
Microsoft Defender for Endpoint の特長
Microsoft Defender for Endpoint は EDR の中でも多くの注目を集めています。ここではクラウドセキュリティ分析、脅威インテリジェンス、統合管理の3つの機能・特長について解説します。
自社に導入する前に理解を深めておきましょう。
クラウドセキュリティ分析
クラウドセキュリティ分析とは、マイクロソフトのビッグデータや機械学習とマイクロソフトチームの高い分析力による分析です。
Microsoft 365(旧製品名:Office 365) などの製品や Windows のエコシステムなどをオンラインで活用、エンドポイントのデータと組み合わせて、異常な挙動を検知します。
クラウドベースのため、サーバーを準備する必要もありません。
脅威インテリジェンス
マイクロソフトは脅威情報を継続的に調査しているため、膨大なセキュリティ情報を集約することができます。使用者が多い Windows のセキュリティ情報を集約し、他の会社では集められない量の情報が集まっています。
それらの情報に対し、マイクロソフトの専門チームが常時監視を行い、Microsoft Defender for Endpoint に反映しているため、常に最新の脅威に対しての対策が行われています。セキュリティ情報はいち早く反映され、攻撃者の使用ツールや手法、手順を特定し、高い検知精度と迅速な通知アラートを発信しています。
統合管理
統合管理とは、マイクロソフトのさまざまなセキュリティ製品と連携して、総合的に監視・管理ができる機能です。
クラウド上のダッシュボードでは、ネットワークからそれぞれの端末のセキュリティ状況を、グラフなどを使いながら可視化します。
ウイルスに感染した疑いがある場合は、Microsoft Defender for Endpoint の画面からウイルススキャンの実行も可能です。
統合管理により、セキュリティ対策ソフトがそれぞれつながっているため、スムーズな操作が行えます。
Microsoft Defender for Endpoint の EDR 機能
Microsoft Defender for Endpoint Plan 2 には EDR 機能が備わっており、高度な脅威に対応できます。EDR 機能では、各端末からプロセス、ログイン、カーネルとメモリ、レジストリなどの情報を収集してクラウド上で分析して異常な動作を検知します。収集された情報はクラウド型アラート管理システムである Microsoft 365 Defender にて自動的にまとめられ、ほぼリアルタイムで攻撃を検出します。検出した攻撃を自社のアナリストが分析して攻撃だと判断した場合、悪意あるプロセスを停止したりエンドポイントを隔離することができます。こうすることで、サイバー攻撃が万が一侵入防御機能を突破したとしても、攻撃の被害を最小にとどめます。
以上のように、Microsoft Defender for Endpoint の EDR 機能は、企業のエンドポイントを守るために欠かせない機能と言えます。
Microsoft Defender for Endpoint の自社運用に不安がある場合
Microsoft Defender for Endpoint は優れた製品であるのは間違いないでしょう。しかし、導入して終わりではなく、実際に運用し、問題があった場合に対処できる体制を作るなど運用方法まで考える必要があります。
自社に専門知識がなく、運用できる人材がいない場合もあるでしょう。運用面に不安を抱えている場合には、監視サービスの利用がおすすめです。
マルウェアの侵入など利用者にとって好ましくない事態が起きた場合でも、素早く対処を行い、感染被害を最小限に留められます。セキュリティ対策で大切な、現状把握・インシデント発生時の調査・対応にかかる時間を大幅に短縮できるため、被害を最小限に抑えることができます。
まとめ
Microsoft Defender for Endpoint について、EDR でできるセキュリティ対策について解説しました。EDR を導入することで、ウイルスやマルウェアの侵入をいち早く感知し、企業の被害を最小限に抑えられます。
SBテクノロジーの EDR セキュリティ監視サービス「MSS for EDR」はさまざまな EDR 製品に対応したセキュリティ監視サービスです。
経験豊富なセキュリティ専門アナリストが、豊富なノウハウを活かして導入企業のシステムを守ります。セキュリティ監視は SBテクノロジーが行うため、導入企業の負担も大幅に少なくなります。EDR の導入を検討中の場合は、ぜひ資料をご請求ください。
【Microsoft Defender for Endpoint のセキュリティ監視サービスの詳細はこちら】