Microsoftは今日(米国時間3/1)、新製品、Windows Defender Advaced Threat Protectionを発表した。ネットワーク攻撃による侵入が起きた後、IT担当者がWindows 10マシンへの脅威を検出するためのツールだ。
これまでのセキュリティー戦略の殆どは、悪役をネットワークの中に入れないことに集中しているが、どんなに会社が注意していても、いつかは防御が破られハッカーが侵入経路を見つける、という割り切った考えもある。攻撃が高度になればなおさらだ。
「サイバー攻撃は益々厚かましくなっている。サイバー犯罪者はよく組織化され、国家が支援する攻撃、サイバースパイ、およびサイバーテロ行為の増加は憂慮すべき状況だ。最高の防御をもってしても、高度なアタッカーはソーシャルエンジニアリングやゼロデー脆弱性を利用して、企業ネットワークに侵入する」とMicrosoftのWindowsおよびデバイスグループ執行副社長、Terry Myersonが新製品を紹介するブログ記事に書いた。
Windows Defender Advanced Threat Protectionでは、どのWindows 10端末を監視するかをIT専門家が決められる。新しいツールは、Microsoftが長年蓄積し今も集め続けているセキュリティー情報データベースであるSecurity Graphに基づく機械学習を使って、問題を探し出す。ネットワーク上のWindows 10マシンを、膨大なセキュリティーデータと比較する。もしシステムが異常を発見したら、IT担当者に通知を送り、管理者がさらに調査を進める。
Myersonによると、機械学習が扱うのは問題の確率であり、必ずしも何かが起きたという確実な兆候ではないため、システムは管理者に問題の可能性を伝え、管理者が対処方法を考える。例えば、悪質なボットネットに指示を与えることが知られているIPアドレスが、データベースに登録されていれば、システムはネットワーク上のWindows 10端末がこのIPアドレスをアクセスした時、IT担当者に連絡して会社が攻撃を受けたかどうかを管理者が判断できるようにする。
もし実際に攻撃があったと管理者が判定すれば、影響を受けたマシンを隔離するための行動を起こせる。Microsoftは、将来のバージョンでより高度な修復ツールを提供することを約束している。
この製品が、現時点でWindows 10端末のみのセキュリティーに特化していることは注目に値する。旧バージョンのWindowsには対応しておらず、広範囲なネットワークでこの種の侵入を検出することはできない。これは、Windows 10端末に、高度な脅威検出機能をもたらすものであり、包活的なセキュリティーツールではない。
同社は製品の開発に当たり、50万台の端末で早期限定テストを行ってきた。近々大規摸なテストが行われる見込みだが、Myersonは正確な日付を明らかにしなかった。
IBMが昨日、侵入後の活動を支援する一連の動きを発表したことも指摘しておくべきだろう。攻撃を防ぐことだけでなく、侵入後の計画と対処方法についても市場があることを、各企業は気付きはじめている。
今日の発表は、Microsoftが市場のその部分に進出する最初の試みだ。
[原文へ]
(翻訳:Nob Takahashi / facebook)
