中小規模向けEDR「Microsoft Defender for Business」によるマルウェア対策強化
ランサムウェアなどのマルウェア(コンピューターウィルス)の被害は年々増加しており、最近の傾向としては攻撃ターゲットが大企業だけでなく、中小企業へも拡大しています。
また、ExcelやWordのマクロに仕込まれていて、気づかれずにランサムウェアに感染させるEmotet(エモテット)の流行など、年々攻撃手法が巧妙化しており、ウィルス対策ソフトなどの従来のセキュリティ対策だけでは防ぐことが難しい状況が生まれています。
【企業・団体等におけるランサムウェア被害の報告件数の推移】
【ランサムウェア被害の企業・団体等の規模別報告件数】
引用:警視庁|令和4年におけるサイバー空間をめぐる脅威の情勢等について
そんな状況下の中、中小企業向けのセキュリティ対策として注目されているのが
2022年にMicrosoftがリリースした中小規模向けのEDR「Microsoft Defender for Business」です。
本記事では「Microsoft Defender for Business」を使用して、どのような対策が行えるのかを解説していきます。
目次[非表示]
EDRとは?巧妙化している攻撃への対策として有効なEDR
EDR(Endpoint Detection and Response)とは、サイバー攻撃を受けてしまった際に被害を最小限に抑えるための対応を支援する、セキュリティソリューションの総称です。
PCやサーバーなどのデバイス(エンドポイント)をリアルタイムに監視し、不審な挙動や脅威を素早く検出して管理者に通知し、デバイスの隔離や不審なプロセスの停止、感染範囲や侵入経路の特定など、感染後の対処を支援する機能を持っています。
よくEDRと比較されるウィルス対策ソフトはEPP(Endpoint Protection Platform)と呼ばれていますが、こちらはマルウェアの感染を未然に防ぐことを目的としており、パターンマッチングなどによって、マルウェアがデバイスに侵入することを防ぐソリューションです。
EPPのみの対策で、凄まじいスピードで次々に生み出されていく新種のマルウェアすべてから防御するというのは、現実的ではありません。
そのためEPPで防御し、EDRでEPPで防ぎきれなかった場合の被害の拡大を抑える対策が有効になってきます。
中小企業向けEDR Microsoft Defender for Business とは?
「Microsoft Defender for Business」はMicrosoftが設計した中小企業 (最大300 ユーザー) 向けのクラウドベースのEDRで、Winsows10以降に無料で搭載されているEPPである「Microsoft Defender」と組み合わせることによって、強固なセキュリティ対策をとることが可能です。
Microsoftが設計しているためWindows OSと親和性が高いという特徴があり、以下のような機能を含んでいます。
- デバイスの隔離や不審なプロセスの停止、感染範囲や侵入経路の特定といった一般的なEDR機能
- 攻撃や脅威に対して自動で修復する機能
- Officeアプリのマクロや電子メール、スクリプトなどから感染させるマルウェアから保護する機能
- デバイスの脆弱性を可視化して対策を支援する機能
引用:日本マイクロソフト|Microsoft Defender for Businessの機能 ウイルス対策機能「Microsoft Defender」を拡張して補完する
Microsoft Defender for Businessを利用するために必要なものは?
「Microsoft Defender for Business」を利用するためには以下のものを用意する必要があります。
項目 |
要件 |
サブスクリプション |
以下何れかのサブスクリプション(プラン)契約が必要です。 ・Microsoft 365 Business Premium ・Microsoft Defender for Business |
ブラウザ |
管理画面を表示するブラウザとして以下何れかが必要です。 ・Microsoft Edge・Google Chrome |
OS |
監視(オンボード)可能なOSは以下の何れかとなります
・Windows 10 または 11(ビジネス、プロフェッショナル、エンタープライズ) ・Mac(最新の3つのリリースがサポート) *1 ・iOS *1 ・Android *1 ・Windows Server *2 ・Linux *2
*1:Mac OS、iOS、Androidを監視するためにはMicrosoft Intune が必要になります *2:Windows Server、Linuxを監視するためにはMicrosoft Defender for Business serversなどの追加ライセンスが必要になります。 |
Microsoft Defender for Businessの動作イメージ
「Microsoft Defender for Business」の動作イメージは以下の通りです。
Microsoft Defender for Businessの機能
「Microsoft Defender for Business」の各機能をご紹介します。
項目 |
説明 |
エンドポイントでの検出と対応 |
ふるまい検知、不審なアクティビティの検出のほか、未知の脅威に対してもMicrosoftの脅威インテリジェンス(情報セキュリティの専門家が分析・整理したサイバーセキュリティに関する情報)を参照し対応することができます。 一般的にEDRと呼ばれている機能です。 |
次世代の保護 |
クラウド上のAIと連携し、リアルタイムに端末を保護します。 定義ファイルだけで保護している場合に比べ、よりマルウェアの検知機能が高まります。 |
攻撃面の減少 |
Webコンテンツへのアクセスを制限したり、Officeアプリのマクロや電子メール、スクリプトなどの動作に制限をかけ、攻撃される範囲を縮小させ、マルウェア感染を防ぐ機能です。 通常のEPPを拡張したものになります。 |
手動応答アクション |
デバイス(エンドポイント)で脅威が検出された際に脅威に対してリモートでアクションを実行する機能です。 デバイスの隔離やプロセス停止、ウイルス スキャンの実行、関連ファイルの検疫などを実行することが可能です。 |
集中管理 |
Microsoft Defender ポータルという管理画面で脅威に関する情報やアクション実行を一元的に管理できます。 |
セキュリティレポート |
検出された脅威やアラート/インシデントなどをレポート化します。 |
デバイス検出 |
ネットワーク内のデバイスの情報収集を行い、オンボードされているデバイスだけでなく、オンボードされていないリスクのあるデバイスを検出することができます。 |
脅威と脆弱性の管理 |
管理対象のデバイスの脆弱性を可視化し、脆弱性に対するリスクやセキュリティパッチ適用などの対策を優先順位をつけて表示してくれる機能です。 |
自動調査および対応 |
検知したアラートに対して、自動で調査および修復をしてくれる機能です。 従来、人手で行っていたマルウェア感染後の対処の大部分を自動化することができるので、マルウェア感染後の被害を最小限に抑え、影響確認や対策を素早く行うことができます。 |
まとめ
年々、攻撃手法が巧妙になってきているサイバー攻撃への対策として、感染後の被害の拡大を抑えるEDRが有効です。
EDRの中でも今回は、中小企業向けEDRとして注目されている「Microsoft Defender for Business」の特徴や機能について、ご紹介しました。
「Microsoft Defender for Business」の特徴を抑え、自社のセキュリティ強化に向けた具体的な行動計画を立てる際に参考にしてみてください。
『Microsoft365は導入しているけれど、Microsoft 365 Business Premiumにランクアップしようか迷っているんだよね・・・』
『Microsoft 365 Business Premiumって高いし・・・当社に適しているのだろうか?』
など、Microsoft365に関するお悩みは是非アイエスエフネットにご相談ください。
■関連記事
・エンドポイントセキュリティとは?|概要から運用方法まで解説
・EDR導入ベンダー 3選!!導入費用の目安もわかる徹底解説【2022年最新版】
・EDR製品のおすすめ3選! 製品の基本から選び方まで徹底解説【2022年最新版】
