ラックは12月14日、Windows 10のPCにおけるセキュリティ侵害の検知や調査、復旧などの対応を行う「マネージドEDRサービス for Windows Defender ATP」を2018年1月から提供すると発表した。同社が既に提供するネットワークセキュリティ監視サービスや、セキュリティインシデント対応支援サービスなどとも組み合わせ、企業向けのセキュリティ対策の運用支援事業を強化する。
「マネージドEDRサービス for Windows Defender ATP」の概要
マネージドEDRサービスでは、Windows 10 Enterpriseに搭載され、ボリュームライセンスの「E5」を購入している組織が利用可能な「Windows Defender Advanced Threat Protection(Windows Defender ATP)」機能を用い、PCへの不正プログラムなどの侵入、不正な行為などの検知と、侵害状況や影響などの調査、ネットワークからの隔離などによる被害拡散の抑止といった一連の対応をラックが代行する。
同社では、3000台以上のPCを持つ企業でのサービス利用を想定する。標準の月額利用料は180万円(PC1台あたり月額600円程度)で、別途初期費用(個別見積もり)が必要。最低契約期間は1年としている。サービス開始後1年間で、10社・2万台以上の利用と1億2000万円以上の売上を見込む。
EDRは「Endpoint Detection & Response」の略称で、主に端末を狙ったサイバー攻撃などの侵害行為の監視、検知、調査のための機能を備える製品、サービスを総称したもの。攻撃手法の高度化を背景に、定義ファイルを用いたウイルス対策ソフトなど従来型のセキュリティ製品では、脅威に十分な対応が難しくなったことから、新たな対策手法として注目されつつある。国内市場では、既に多数のEDR製品やサービスが提供されている。
ラックによれば、同社に寄せられるセキュリティインシデントの相談では、2015年4月以降でマルウェア感染に関するものが半数近くを占め、端末を狙う脅威は重大と指摘する。記者会見したサイバー救急センター長の内田法道氏は、「PCで検知される脅威に加えて、第三者の通報で発覚したインシデントにおけるPCの調査にも対応し、侵害からの回復やネットワークセキュリティを含めた広範な対応をできる点に強みがある」と話す。
Windows Defender ATPは、2016年7月にリリースされた「Anniversary Update」から搭載する機能。PCのログをクラウド環境にアップロードし、Microsoftが保有する膨大な脅威インテリジェンスのデータを利用して検知や分析を行う。ユーザーはダッシュボードからその状況を把握したり、必要な対応作業を実施したりできる。これまで2回のアップデートを通じて、ネットワークからの端末の隔離といった機能拡張が図られている。
日本マイクロソフト Windows & デバイスビジネス本部 エグゼクティブ プロダクトマネージャーの石田圭志氏は、「Windows自体にEDRを組み込んでいるので、Active Directoryのグループポリシーですぐに展開したり、OSアップデートに合わせて拡張したりできる」とその特徴を説明する。また米Forresterのレポートを引用し、Windows Defender ATPの導入後3年間における投資対費用の効果が53%に上ると述べ、経済性もメリットに挙げた。
Forresterのレポートでは、Windows Defender ATP導入企業への聞き取りをもとにモデルを作成。一般的な3年間のPCセキュリティ対策コストを230万ドルとした場合、Windows Defender ATPなら79万3000ドルで済むという
ただしEDRを本格的に利用するには、サイバーセキュリティに関する高度な知見、攻撃などに関する知識、インシデント対応の調査や分析のノウハウ、経験などが求められる。このため専門会社がユーザーからの委託を受けてEDRの運用業務を代行する「マネージドサービス」の提供が増えている。
サービスを発表したラック サイバーセキュリティ事業部長の中間俊英氏、日本マイクロソフトの石田氏、ラック常務執行役員の山中茂生氏(左から)
