●侵入後の対応を盛り込む

Windows 10の機能(Pre Breach)ような対策を講じたとしても、セキュリティ上の被害に遭うことは少なくない。

侵入の問題は厄介だ。被害に遭った事例を調査すると、侵入を許してから発見されるまでに長期間を要している。FireEyeの調査によれば、2013年時点では平均229日、2014年時点でも平均205日と長い*1)。

発見までの時間が長ければ長いほど、不正に権限を利用されやすくなり、重要情報を盗み出されてしまう。このような経緯から、侵入を防ぐ対策だけではなく、侵入をできるだけ早く検知し対応する、いわゆる「Post Breach」対策が重要視されるようになった。

Microsoftは「Protect」「Detect」「Respond」という3つのフェーズからなるセキュリティ対策を提唱しており、DetectとRespondがPost Breachに相当する。

この考え方は政府機関が公開した指針に沿ったものだ。米国技術標準局(NIST)が2014年2月に公表した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」にある「サイバーセキュリティ・フレームワークコア」がベースだ。

――
*1) ”M-Trends 2015: A View from the Front Lines”(FireEye)
――

IPAによる日本語訳では、フレームワークの中身を次のように記している*2)。

・フレームワークの基本的な考え方“サイバーセキュリティへの取組を企業にとってのビジネス上のモチベーションにつながるものにすることと、サイバーセキュリティリスクを企業のリスク管理プロセスの一環として捉えることに重きを置いている”
・フレームワークの3要素“フレームワークコア(Framework Core)、フレームワークプロファイル(Framework Profile)、フレームワークインプレメンテーションティア(Framework Implementation Tier)”*3)
・フレームワークコアの構成”同時的・連続的に実行される5つの機能「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」”

――
*2) 重要インフラのサイバーセキュリティを向上させるためのフレームワーク(IPA)*3) フレームワークプロファイルはフレームワークコアが示す標準などを企業ごとの実施シナリオに落とし込んだもの。フレームワークインプリメーテションティアは、企業ごとのサイバーセキュリティリスクのとらえ方やプロセスの実施内容をいう。
――

フレームワークコアにあるProtectとRespondを担うMicrosoftの技術は複数ある。ATA(Microsoft Advanced Threat Analytics)と、WDATP(Windows Defender Advanced Threat Protection)が代表例だ。ATAはドメインコントローラー(DC)を対象とする。DCへのアクティビティーを分析、学習することで、認証情報を狙うサイバー攻撃を検知、通知する。

WDATPはWindows 10に実装されたエンドポイント向けの機能だ。WDATPの内容を次に紹介しよう。

●Windows Defender Advanced Threat Protection(WDATP)

マルウェアの検出を目的としたシグネチャ型のアンチマルウェア製品とは異なり、WDATPは組織のネットワークに侵入した脅威を検出し、さらに調査や対処をサポートすることを目的としている*4)。

Windows 10に実装されたエンドポイント動作センサーがシステムの情報を収集し、これをクラウドに集約し分析することで、WDATPが動作する。WDATPポータルを閲覧することで、分析結果を表示したり、アラートを確認したりすることができる。

攻撃者が侵入に成功した場合、攻撃の記録が残るイベントログを削除する場合が多い。だが、WDATPではクラウド上にログを記録するため、HDD上のログが削除された場合でも、攻撃を追跡できる。

――
*4) Windows Defender Advanced Threat Protection(Windows IT Pro Center)
――

WDATPポータル上ではセキュリティ上のアラートを分かりやすく一覧できることに加え、分析に役立つよう情報を分類して表示できる。

WDATPポータルのダッシュボード画面は、中央左の円グラフではアラートの重要度が色分け表示されており、アラートの数も分かる。Highが1つ、Mediumが6つ、Lowが3つだ。アラートの基となったイベントを時系列で追跡したものが分かる画面では、マルウェア(バックドア)が、どのような手順で生成され、実行されたのかが分かる。

WDATPは、クラウドにデータを集約する。このため、個別のPCに対する分析だけではなく、攻撃に関連する複数のPCにまたがって分析できる。

WDATPが提供する情報は、インシデントレスポンスを迅速に実施する上で欠かせないものであり、検知と対応の初動を早めるとともに、確実な対処をサポートする。

●利便性を損なうセキュリティは「穴」となる

本連載ではWindows 10のセキュリティについて、「デバイスの保護」「脅威(攻撃)からの保護」「認証情報の保護」「情報の保護」「侵害の検出と対策」という5つのスタックを順に解説した。

だが、触れていない課題が1つある。現在のセキュリティ対策において、PCやスマートフォンなどの「デバイスの管理」が不可欠となっていることだ。なぜデバイスの管理が重視されるのだろうか。

標的型攻撃のようにインターネットと企業内ネットワークの境界領域を突破するケースへの対応が増えてきたこと、これが第1の理由だ。このような攻撃に対しては、各デバイスが適切に管理されており、攻撃に対する十分な対策が講じられていなければならない。さらにそれを担保しておく必要がある。

第2の理由は、人やデバイス、データが既にイントラネットの内側に収まらなくなっていることにある。テレワークのようにオフィス外から組織のITリソースを利用するケースや、SaaSなどのオンラインサービスの利用など、イントラネットを守るだけでは、対策が不十分なのだ。

2000年代のように、指定外のデバイスの利用をIT部門が禁止すれば済んだ時代とは違い、現在は利用者自身が容易にネットワークインフラ、ITインフラを用意できる。IT部門が提供するITの利便性が低い場合、利用者は「シャドーIT」と呼ばれるIT部門が把握できない独自のIT基盤を作ることになる。

このため、利用者に提供する利便性とセキュリティの担保を、どのように両立をさせるのかが重要なテーマとなっている。

Windows 10には、セキュリティを担保しながら、ITの利便性を得るための、さまざまな取り組みが含まれている。連載を通じて取り組みの内容に触れ、活用いただければ幸いである。

 

【関連記事】

「Windows 10 Insider Preview」Build 16296が“Fast”リングに

「Windows 10 Redstone 4」の最新プレビュー版、Build 16362が“Fast”リングに