Microsoftが2つのセキュリティサービスを発表した。これらのサービスは、デバイスの保護だけでなく、組織のセキュリティオペレーションセンター(SOC)のインテリジェンス機能強化も目的としている。
Microsoftが発表したのは、「Defender Threat Intelligence」と「Defender External Attack Surface Management(Defender EASM)」だ。この2つの新製品では、同社が2021年7月に5億ドル(当時のレートで約550億円)で買収したセキュリティ企業RiskIQのテクノロジーが統合されている。
これらは、「Microsoft Azure」を利用する「Microsoft Sentinel」セキュリティ情報およびイベント管理(SIEM)サービスやマネージド脅威ハンティングサービスの「Microsoft Defender Experts for Hunting」、マネージドXDR(拡張検知および対応)サービスの「Defender Experts for XDR」と重複する部分があるように思える。
しかし、Microsoftによると、RiskIQのテクノロジーをベースとする今回の脅威インテリジェンスサービスは、顧客がMicrosoftのセキュリティシグナルから「リアルタイムデータに直接アクセス」できる点で異なるという。同社最高経営責任者(CEO)のSatya Nadella氏は先ごろ、Microsoftは毎日、43兆件のセキュリティシグナルを受信していると述べた。
Microsoftの新しい脅威インテリジェンスサービスは、シグナルに加えて、RiskIQ、国家支援型サイバー攻撃を追跡するMicrosoftのチーム、Microsoft Threat Intelligence Center(MSTIC、「ミスティック」と読む)、「Microsoft 365 Defender」セキュリティリサーチチーム間で統合されたインテリジェンスも利用する、と同社は語った。
MicrosoftのモダンプロテクションおよびSOC部門のコーポレートバイスプレジデントを務めるRob Lefferts氏が米ZDNetに語ったところによると、この脅威インテリジェンスサービスの狙いは、「SOCをMicrosoftのMSTICの研究者たちとつなげる」ことにあるという。
一方、Defender EASMは、「ユーザーが攻撃者と同じように世界全体を見られるようにすること」を目的としている、とLefferts氏は話す。
「われわれはインターネットをスキャンして、顧客がパブリックインターネットで何を公開しているのか、そして、それが顧客にどのような影響を及ぼすのかを理解できるように支援する」
あるデータによると、攻撃者は、重大な脆弱性が一般に開示されてから15分以内に、インターネットをスキャンして公開されている脆弱なデバイスを探し始める。そして通常は、「ProxyLogon」と「ProxyShell」(2021年に発見された「Microsoft Exchange Server」の厄介な脆弱性)のような古い脆弱性を求めてインターネットをスキャンする作業も並行して続けるという。それを考えると、Defender EASMは有益な製品かもしれない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
