マルウェア侵入を前提にした対策を――、PwCがWindows Defender ATPを用いたセキュリティサービスを提供

　PwCコンサルティング合同会社とPwCサイバーサービス合同会社は、日本マイクロソフトが提供しているセキュリティ機能「Windows Defender Advanced Threat Protection（ATP）」を活用したエンドポイントセキュリティサービス「インシデントディテクション＆リカバリーサービス」を、9月6日より提供開始した。

　企業向けセキュリティ対策は、依然として社内ネットワークとの境界に設けられていることが多いが、新サービスは侵入後の対策、復旧などサイバーレジリエントセキュリティを実現するためのものだ。

　PwCサイバーサービス 最高執行責任者の星澤裕二氏は、新サービス開始の背景について、「これまでの情報漏えい対策は、高い壁を作って外部からの侵入を防ぐことに注力していたが、残念ながら外部からの侵入対策だけで情報漏えいを完全に防ぐのは難しい。今後は、外部からの侵入対策とともに、事故が起きた後、どう対策を採り、迅速に回復していくかを考慮したが重要。今回、PwCコンサルティング、PwCサイバーサービス、そして日本マイクロソフトによる3社協業で、レジリエントセキュリティサービスを提供する」と説明した。

　サービスの価格は月額150万円からで、初年度10件の成約を目指す。

PwCサイバーサービス 最高執行責任者の星澤裕二氏

レジリエントセキュリティとは

Windows Defender ATPを活用した新サービス

　今回の新サービスでは、Windows Defender ATPを活用し、NIST SP800-61のインシデントライフサイクルに準拠した、「脅威検知」「脅威分析」「脅威封じ込め」「脅威除去支援」「回復支援」というインシデントレスポンスを提供する。

インシデントディテクション＆リカバリーサービスの概要

　「従来の境界セキュリティによるネットワーク監視では、侵入後のネットワーク内で起こっている攻撃や対処が弱い。今回、EDR（Endpoint Detection and Response、エンドポイントのログ）導入によって、侵入検知、攻撃が拡大することを防ぐなどの対処が可能となる。従来はバラバラに点在していたネットワーク、エンドポイントのログ監視と対応を結合し、脅威をより正確に、迅速に発見・対処する。以前は1日、2日といった日単位で行っていた対処を、時間単位で対処することが可能となる」（PwCサイバーサービス プロダクトマネージャーの岩尾健一氏）。

PwCサイバーサービス プロダクトマネージャーの岩尾健一氏

EDR導入の利点

EDRとネットワークのログを組み合わせて調査することにより、さらに早く正確な原因追跡などが可能に

費用対効果にも優れているという

　会場で行われたデモでは、Wordの添付ファイルを開いたことで感染してしまうマルウェアをきっかけとした脅威を紹介した。Wordの添付ファイルを開くことは、日常業務で行われている行動。感染後、攻撃者は通信で状況を探る行動をするが、ブラックリストとなっている相手ではなく、日常的に使われているネットワークが使われている場合、通信を行っていても脅威が見つけにくい。さらに、一度侵入されてしまった場合、その利用者がPCの権限を持っていない場合でも、勝手に権限を書き換えるといった行動をする場合もある。

　「Wordの添付ファイルを開く、ブラックリストではない相手との通信といった行為ではアラートは上がってこない。そこで挙動を観察しておき、怪しい動きがあればログを調べることになる。その際、Windows Defender ATPは1つの画面からログをドリルダウンし、感染しているPCは1台だけなのか、感染全体を確認していくといった作業を1つの画面から行うことができる」（PwCサイバーサービス サービス担当マネージャーの小山幸輝氏）。

Windows Defender ATP

ログから怪しい挙動をしているクライアントを特定し、さらに他に同様の動きをしているものがないかをドリルダウンするデモ

PwCサイバーサービス サービス担当マネージャーの小山幸輝氏

　こうした作業を行うためには、導入するEDRが最新の脅威に対応しているのかどうか、といった点に加え、サービスを提供する側には、多数のイベントを相関的に確認しインシデントとして判断するといった専門性も必要となる。

　PwCでは、「レジリエントセキュリティは、技術を持った人材『ピープル』と、『プロセス』、『テクノロジー』が一体にならないと提供することは難しい。当社には経験、技術を持った人材がおり、PwCコンサルティングはWindows 10の導入支援やセキュリティ強化支援を行った実績がある。さらに、ワールドワイドでのパートナーであるマイクロソフトのテクノロジーと、3つの要素が一体になってレジリエントセキュリティを提供できる体制を整えている」（星澤氏）とアピールする。

高度な専門性が必要となる

レジリエントセキュリティを実現する体制

　日本マイクロソフトでも、Windows 10のセキュリティ機能としてさまざまなセキュリティ機能を提供。2000万社以上の全世界の企業への導入、米国防総省に次いで世界で2番目に攻撃を受けているMicrosoftが持つ、ワールドワイドでの経験をもとにした機械学習による脅威の検出／対応／予防ノウハウを活用していることが強みとなっている。

　ただし、「多層化防御として、さまざまなレイヤーでの対策を提供しているが、それでも標的型攻撃のようなものもあり、100％の防御は難しい。そこで侵入検知と、攻撃を受けた後の対策を行う、Windows Defender ATPを提供。クラウドベースで、さまざまなデータソースを持っていることから最新の攻撃を素早く検知、調査し、対応できることが特徴となっている。今回のパートナーシップは、これを多くのお客さまに提供する、素晴らしいパートナーシップになると感じている」（日本マイクロソフト Windows ＆ デバイスビジネス本部 業務執行役員 本部長の三上智子氏）と、新しいセキュリティ対策としてWindows Defender ATPを提供していると説明する。

　なお、Windows Defender ATPを利用するためには、Windows 10 Enterprise E5もしくは最新のバンドルサービスであるMicrosoft 365を利用することが必要になる。

Microsoftのインテリジェントセキュリティ

日本マイクロソフト Windows ＆ デバイスビジネス本部 業務執行役員 本部長の三上智子氏

Microsoft 365

Windows 10のセキュリティ機能

　同様の機能を持つEDR製品は、マイクロソフト以外のベンダーからも提供されるようになっている。マイクロソフト製品を利用するユーザー側のメリットとして、「PwCとしてというよりも、個人の見解になるが、Windows 10の運用ノウハウがあれば、別のツールを運用するためのノウハウを新たに覚える必要がない分、導入メリットがあるといえるのではないか」（小山氏）と述べ、使い慣れたWindows 10の延長で利用できることが大きなメリットだと説明した。

　また、「マイクロソフト自身が多数の攻撃を受けているといった経験が生かされている点、セキュリティアップデートを考慮した仕様となっている点が他社製品にはない大きなメリットではないか」（岩尾氏）という見解も示した。