マイクロソフト、攻撃者視点で展開するセキュリティサービスを説明

今回は「マイクロソフト、攻撃者視点で展開するセキュリティサービスを説明」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　日本マイクロソフトは8月29日、同社のセキュリティソリューション「Microsoft Defender Threat Intelligence」と「Microsoft Defender External Attack Surface Management」に関する説明会を開催した。いずれも2021年7月に買収を発表したRiskIQの技術を利用している。

　説明を行った米Microsoft セキュリティソリューションエリア チーフセキュリティアドバイザーの花村実氏は、総合的なセキュリティ対策の観点から「多要素認証でIDを保護し、放置されたデバイスに対するアクセス権を見直し、OSを常に更新して、われわれSaaSベンダーに（セキュリティ面は任せ）、本業に集中してほしい」と述べた。

　Microsoftは、2021年7月にRiskIQの買収を発表し、1年をかけて自社ソリューションの一部に統合してきた。その1つが、Defender Threat Intelligenceになる。RiskIQは、発見と平準化の自動化技術を強みに、インターネット上のさまざまな情報を収集・分析するソリューションを提供した。米Microsoft セキュリティソリューションエリア Security Global Black Beltの中村弘毅氏は、「XDR（拡張型脅威検知および対応ソリューション）とSIEM（セキュリティ情報・イベント管理）の概要に基づいて攻撃の予兆などを収集し、製品にフィードバックしている。また、CSIRT（セキュリティインシデント対応チーム）がそのまま分析可能なデータを提供すると同時に、攻撃対象領域の情報を提供することで、顧客がセキュリティに相対する第一歩になる」と概要を説明した。

　Defender Threat Intelligenceは、サイバー攻撃者の視点でセキュリティ状況を監視するソリューションで、RiskIQが提供していたインターネットの情報から重要なデータソースを集約して強化し、多角的な脅威分析を行う「Passive Total」を統合した。「Microsoft Sentinel」や「Microsoft 365 Defender」と連携し、組織内で発生したセキュリティインシデントについて、Microsoftが提供するIPアドレスやドメインベースなどの情報を通じて対応できるとう。顧客に提供する情報は、Microsoftが収集したデータとIoC（セキュリティ侵害の指標）が含まれる。無償のコミュティー版と有償のプレミアム版が用意されているのが特徴だ。

　もう一方のDefender External Attack Surface Managementも、異なるアプローチでサイバー攻撃者視点による組織の脆弱な部分を可視化するソリューションになる。Microsoft Azureベースの課金体系を採用する。Microsoftが日々収集する情報をマッピングし、同社のセキュリティチームが情報に対する脅威の内容や優先順位付けを行い、ユーザーのセキュリティインシデント対応を支援する。

　中村氏は、「顧客のクラウド移行とセキュリティ対策が伴っていない。攻撃対象範囲の可視化や人的なエラー、技術不足による設定のミスがあり、現状に追いついていない」と指摘する。同ソリューションでは、RiskIQが持つデジタル資産の検出や監視により、資産の棚卸しとリスクの一元管理を行うことで、「デジタルフットプリントをインテグレーションした」（中村氏）という。

　中村氏は、一連のセキュリティソリューションを通じて、「ビルドインの脅威インテリジェンスによる防御力強化、攻撃対象とインフラを特定するための脅威情報データベース、自社サプライチェーンにおける攻撃対象領域の把握の3つを提供する」と説明。同社は、年間43兆以上のセキュリティシグナルを日々分析し、15億以上のウェブサイトに応じた変化を観測することで72億件以上の脅威を阻止しているとしている。