PwCコンサルティングとPwCサイバーサービスは9月6日、Windows 10のセキュリティ機能「Windows Defender Advanced Threat Protection」(WDATP)を利用したエンドポイント向けインシデント対応支援サービスを開始した。
同サービスでは、Windows 10端末上でマルウェアや不正コードなどによる攻撃の検知と攻撃に至った経緯を調査し、被害に遭った端末の隔離や他の端末への拡散を防ぐ措置といった一連のインシデント対応を支援する。
WDATPでは、端末のログ情報からマルウェア感染に至った経緯や端末内部の不正な活動、他の端末への影響などの状況を追跡できる
サービス利用料は月額150万円ほどからで、2017年度中に10社の利用を目指す。なお、WDATPの利用にはボリュームライセンス「E5」の契約とWindows 10 Enterpriseエディションが必要だ。
記者会見したPwCサイバーサービス 最高執行責任者の星澤裕二氏は、企業や組織でサイバー攻撃被害が常態化している現状を踏まえ、攻撃者の侵入を防ぐだけでなく、侵入を前提にした迅速かつ適切な検知や対応が必要だと話す。同氏によれば、これは「レジリエンス」セキュリティと称され、日本語では「回復」などと訳される。これからのセキュリティ対策では、被害を防ぐこと、万一の被害からすばやく立ち直れることの両輪が求められるとした。
今回、PwCが開始したサービスは「Endpoint Detection & Response」(EDR)と呼ばれる分野で、主になりすましメールなど脅威の侵入口になりやすい従業員の業務端末におけるセキュリティソリューションとなる。
プロダクトマネージャーの岩尾健一氏は、EDRの導入メリットに(1)サイバー攻撃のプロセスに基づいた網羅的な対応を可能にすること、(2)ネットワークセキュリティと組み合わせた的確な対応の実現、(3)迅速な対応による被害抑止――の3点を挙げる。一方でEDRのデメリットは、運用に高度な知識やノウハウ、経験が必須とされる点で、PwCサイバーサービスの専門技術者によるサービス体制により、デメリットをカバーできるとした。
PwCによるサービスの概要
EDRのソリューションは他のITベンダーからも多数提供されている。WDATPを利用する点についてサービス担当マネージャーの小山幸輝氏は、Windows 10が短い周期で継続的にアップデートされるようになり、サードパーティーのEDR製品よりも、OSの機能として提供されるWDATPの方が利用しやすいこと、WDATPがEDRに特化していることだとした。
サードパーティーのEDR製品の中にはIT資産管理など、複数の機能を提供するものもある。小山氏は、EDR以外の機能も求めるユーザーにはWDATPよりサードパーティー製品の方が適しており、多機能を使うのが難しいユーザーにはWDATPの方が適していると、解説する。
ゲストとして登壇した日本マイクロソフト 業務執行役員 Windows & デバイスビジネス本部長の三上智子氏は、Windows 7やWindows 10を通じて多層的な攻撃防御機能を導入してきたものの、攻撃を完全に防げないとの認識からWDATP機能を追加したと説明している。
Windows 10ではWindows 7以上に多層的なセキュリティ機能が搭載されている
