日本マイクロソフトは8月29日、同社のセキュリティソリューション「Microsoft Defender Threat Intelligence」と「Microsoft Defender External Attack Surface Management」に関する説明会を開催した。いずれも2021年7月に買収を発表したRiskIQの技術を利用している。
説明を行った米Microsoft セキュリティソリューションエリア チーフセキュリティアドバイザーの花村実氏は、総合的なセキュリティ対策の観点から「多要素認証でIDを保護し、放置されたデバイスに対するアクセス権を見直し、OSを常に更新して、われわれSaaSベンダーに(セキュリティ面は任せ)、本業に集中してほしい」と述べた。
米Microsoft セキュリティソリューションエリア チーフセキュリティアドバイザーの花村実氏
Microsoftは、2021年7月にRiskIQの買収を発表し、1年をかけて自社ソリューションの一部に統合してきた。その1つが、Defender Threat Intelligenceになる。RiskIQは、発見と平準化の自動化技術を強みに、インターネット上のさまざまな情報を収集・分析するソリューションを提供した。米Microsoft セキュリティソリューションエリア Security Global Black Beltの中村弘毅氏は、「XDR(拡張型脅威検知および対応ソリューション)とSIEM(セキュリティ情報・イベント管理)の概要に基づいて攻撃の予兆などを収集し、製品にフィードバックしている。また、CSIRT(セキュリティインシデント対応チーム)がそのまま分析可能なデータを提供すると同時に、攻撃対象領域の情報を提供することで、顧客がセキュリティに相対する第一歩になる」と概要を説明した。
米Microsoft セキュリティソリューションエリア Security Global Black Beltの中村弘毅氏
Defender Threat Intelligenceは、サイバー攻撃者の視点でセキュリティ状況を監視するソリューションで、RiskIQが提供していたインターネットの情報から重要なデータソースを集約して強化し、多角的な脅威分析を行う「Passive Total」を統合した。「Microsoft Sentinel」や「Microsoft 365 Defender」と連携し、組織内で発生したセキュリティインシデントについて、Microsoftが提供するIPアドレスやドメインベースなどの情報を通じて対応できるとう。顧客に提供する情報は、Microsoftが収集したデータとIoC(セキュリティ侵害の指標)が含まれる。無償のコミュティー版と有償のプレミアム版が用意されているのが特徴だ。
Microsoft Defender Threat Intelligenceの特徴
もう一方のDefender External Attack Surface Managementも、異なるアプローチでサイバー攻撃者視点による組織の脆弱な部分を可視化するソリューションになる。Microsoft Azureベースの課金体系を採用する。Microsoftが日々収集する情報をマッピングし、同社のセキュリティチームが情報に対する脅威の内容や優先順位付けを行い、ユーザーのセキュリティインシデント対応を支援する。
中村氏は、「顧客のクラウド移行とセキュリティ対策が伴っていない。攻撃対象範囲の可視化や人的なエラー、技術不足による設定のミスがあり、現状に追いついていない」と指摘する。同ソリューションでは、RiskIQが持つデジタル資産の検出や監視により、資産の棚卸しとリスクの一元管理を行うことで、「デジタルフットプリントをインテグレーションした」(中村氏)という。
Microsoft Defender External Attack Surface Managementの特徴
中村氏は、一連のセキュリティソリューションを通じて、「ビルドインの脅威インテリジェンスによる防御力強化、攻撃対象とインフラを特定するための脅威情報データベース、自社サプライチェーンにおける攻撃対象領域の把握の3つを提供する」と説明。同社は、年間43兆以上のセキュリティシグナルを日々分析し、15億以上のウェブサイトに応じた変化を観測することで72億件以上の脅威を阻止しているとしている。
Microsoftのセキュリティ対策イメージ