清水理史の「イニシャルB」
中小規模向けEDR「Microsoft Defender for Business」って何? 体験版でチェック!
2022年6月27日 06:00
中小規模のビジネス向けのエンドポイントセキュリティソリューションで、一般的には「EDR(Endpoint Detection & Response)」とも呼ばれる「Microsoft Defender for Business」がリリースされた。
これまでMicrosoft 365で提供されてきたサービスのスタンドアロン版だ。何ができて、どう使うのかを体験版で試してみた。
危険なPCの存在検知できますか? すぐ分離できますか?
少し想像してみよう。
「今、この時点で、あなたが働くオフィスに、マルウェアに感染したPC、もしくは感染が疑われる怪しい挙動をするPCが、存在するかどうかが分かりますか?」
「もしも今、同僚からPCがマルウェアに感染したという報告があったら、そのPCをリモートからでも即座にネットワークから分離できますか?」
「今、この瞬間、Windowsに修正されていないゼロデイ脆弱性があるかどうかを知っていますか? そして、その脆弱性を抱えているPCが社内に存在するかどうかが分かりますか?」
上記3つの質問に対し、小規模オフィスの担当者などは、「NO」という回答が圧倒的に多いだろう。
Windows 10以降のPCであれば、標準で「Microsoft Defender」が搭載されているため、最低限のセキュリティ対策はもちろんできている。
しかし、仮にPCが感染してしまったとしても、その後の対策まで準備できているケースは少ないだろう。その上、予防という観点でセキュリティの状況を全体的に管理できることは、さらに少ないと思われる。
Microsoft Defender for Businessは、こうした状況を改善するために、PCなどのエンドポイントのセキュリティ対策を強化できるソリューションだ。
同様のサービスは、Microsoft 365 Business Premiumに含まれるかたちで提供されていたが、今回登場したMicrosoft Defender for Businessは、Microsoft 365のサブスクリプション契約がない組織でも1ユーザーあたり月額363円のわずかな料金で利用でき、高度なセキュリティ対策が可能となっている。
数人から十数人規模の小さなオフィスでは、いわゆるOffice入りのPCを各人が購入して利用するケースが多く、OfficeがPCに入っているのに、さらにMicrosoft 365のサブスクリプションまで契約することは避けたいことも少なくない。
こうした環境向けに、最低限のエンドポイントソリューションのみで構成されたスタンドアロンのサービスとして登場したのが、今回のMicrosoft Defender for Businessということになる。
Defenderにプラスのセキュリティ対策
Microsoft Defender for Businessは、OS標準のウイルス対策であるMicrosoft Defenderの機能を強化するエンドポイントセキュリティソリューションだ。
一般にはEDRと呼ばれることが多いが、デバイスへの攻撃や侵入を未然に防ぐ役割がOS標準のMicrosoft Defender(Smart Screenなども)であるのに対して、デバイスの挙動を監視し、マルウェア以外の不審な挙動を検知したり、不審な端末の分離や修復、調査などを実施したりできるのが、Microsoft Defender for Businessということになる。
こうしたサービスが登場する背景には、従来のセキュリティ対策だけでは検知が難しい「Emotet」のような脅威の登場、そしてリモートワークの普及によるPC管理の多様化・複雑化がある。
近年流行しているサイバー攻撃では、Officeのマクロや、OS標準の機能であるPowerShell、コマンド、WMIなどが悪用されたり、攻撃もしくは攻撃のための準備がコードのみのファイルレスで実施されたりするケースが増えている。
例えば以下は、Microsoft Defender for Businessでデバイスのテストに利用される不審な挙動をシミュレートしたコードだが、このコード自体はPowerShellなのでマルウェアではないし、ファイルでもないため旧来のマルウェア対策では見逃される可能性がある。こうした従来のマルウェア対策では発見しにくい脅威の対策が可能ということになる。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
また、リモートワークの普及によって、社内だけでなく社外にもデバイスが存在するケースが増えてきたことで、セキュリティ対策が複雑化している状況もある。例えば、社員が自宅に持ち帰ったPCがマルウェアに感染した場合、そのデバイスをどうやって修復するのか? どうやって社内のリソースにアクセスすることを防ぐのか? が大きな課題となる。
Microsoft Defender for Businessでは、デバイスの管理をクラウドで提供することで、デバイスがインターネットに接続できさえすれば管理できる。このため、マルウェアの感染や不審な行動が発見された場合でも、管理者はクラウド上の管理画面からそのデバイスのネットワーク接続を簡単に遮断することなどができる。
このほか、最新の脅威として、ランサムウェアやフィッシングの手口を確認したり、その脅威の被害を受ける可能性があるデバイス(更新が適用されていないなど)が存在するかどうか、といった状況を確認したりすることも可能だ。
このようにエンドポイントでのセキュリティ対策の強化だけでなく、管理機能も同時に提供するのが、Microsoft Defender for Businessということになる。
30日間の体験版で試す
それでは、実際の使い方を見てみよう。サービスは以下のアドレスから利用可能だ。今回は、無料の30日試用版を試してみた。
- ▼Microsoft Defender for Business
https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business#office-ContentAreaHeadingTemplate-kttmroa
まず、利用する上での要件だが、最低限必要なのはWindows 10 Business/Professional/Enterprise以降、またはmacOS(最新の3バージョンをサポート)が搭載されたデバイスとなる。
- ▼Microsoft Defender for Business要件
https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-business/mdb-requirements?view=o365-worldwide
日本国内の環境には、Windows 11/10 Home+Office Home & Business 2021という組み合わせが存在するため、小規模の法人環境で利用されるケースがあるHomeエディションでは、Windows Defender for Businessは残念ながら利用できないので注意しよう(実際に試したがオンボードスクリプトの実行で失敗する)。
デバイスのOSエディションの条件さえ満たしていれば、ほかの準備は不要だ。Microsoft 365契約も、Azure AD環境も必要ない上、デバイスも個人向けMicrosoftアカウントでのサインインのみでOKで、[職場または学校にアクセス]の設定も必要ない。サイトからサインアップしてデバイスをオンボードすればサービスを利用可能になる。
なお、Microsoft 365 Business Premiumに含まれるMicrosoft Defender for Businessを利用する場合は、Intuneを利用することで、Microsoft Defender for Businessへの登録(オンボード)を自動化できる。Microsoft Defender for Businessは300ユーザーまで対応可能だが、数十~数百規模の環境では、こちらの利用をお勧めする。
1.サインアップ
Microsoft Defender for Businessのウェブサイトから、30日試用版にサインアップする。個人用のMicrosoftアカウント(outlook.jpなど)でサインアップ可能だが、管理にはサインアップ時に登録した組織名で構成されるAzure ADアカウント(□▲■@組織名.onmicrosoft.com)を利用する。連絡先、およびクレジットカード情報の登録も必要となる。
なお、無料体験版は自動更新によって30日経過後に有料版に自動的に切り替わるため、継続しない場合は、Microsoft 365[管理センター]から[課金情報]の[お使いの製品]から[継続請求]を編集して、オフにしておくことをお勧めする。
2.Microsoft 365管理センターへアクセス
セットアップが完了すると、Microsoft 365管理センター(http://admin.microsoft.com/)にアクセスできるようになるので、Azure ADアカウントでサインインする。左側のメニューから[管理センター]の[セキュリティ]をクリックし、Microsoft 365 Defenderの管理画面へと移動する。
3.初期設定の実行
Microsoft 365 Defenderの管理画面にアクセスできたら、初期設定を実行する。
左側のメニューから[エンドポイント]をクリックすると、初回のみデータ用の新しい領域の作成が実行され、しばらく待つとセットアッププロセスの画面が表示されるので、[開始]をクリックし、以下の3つを設定する。
なお、無料体験版の場合、初期設定のアカウントには自動的にライセンスが割り当てられるが、ほかのユーザーを追加するにはライセンスの割り当てが必要になる(割り当て後、[エンドポイント]表示されるまで数時間かかる場合がある)。
- 管理者の設定
Microsoft Defender for Businessの設定を変更したり、管理画面で情報を参照できるユーザーを指定したりする。標準では、サインアップ時に作成したユーザーがMicrosoft 365のグローバル管理者になっているため、そのユーザーは設定する必要はない。ほかのユーザーに管理を委任する場合に設定する
- メール通知の設定
アラートなどの情報を通知するメールアドレスを指定する。管理者のメールアドレスやTeamsのチームのメールアドレスなど、通知したい宛先を指定しておく
- オンボード用スクリプトのダウンロード
Microsoft Defender for Businessへ管理対象デバイスを登録するにはオンボードでの操作が必要。Intuneを使える場合は自動登録が可能だが、スタンドアロンのMicrosoft Defender for Businessでは、スクリプトを利用した手動登録になるので、デバイスで実行するためのスクリプトをダウンロードしておく。次回以降は、Microsoft 365 Defender管理画面の[設定]から[エンドポイント]の[オンボーディング]をクリックすることでスクリプトをダウンロード可能
4.デバイスのオンボード
デバイスをMicrosoft Defender for Businessへ接続する。ダウンロードしたスクリプトをデバイスにコピーした後、スタートメニューで検索したコマンドプロンプトを右クリックして管理者権限で実行した上で、スクリプトを実行する。実行時に[Y]キーを押せば、自動的にオンボードが実行される。
Microsoft Defender for Businessの管理
オンボード後にしばらく(数時間かかる場合あり)待つと、Microsoft 365 Defender管理画面にある[エンドポイント]の[デバイスのインベントリ]に、デバイスが表示される。
この状態になれば、デバイスが保護され、管理が可能になる。管理機能はたくさんあるが、ここでは主な機能をピックアップして紹介しよう。
デバイスの管理
まずは、デバイスの状態を確認してみよう。一覧でデバイスをクリック(デバイス名のリンクではなく右側の方)すると、デバイスの状況確認ができる。
上記テストを実行している場合、[アラート]にテストの検出結果が表示されるはずだ。このように、デバイス上で不審な行為が発生すると、アラートが表示されるようになる。
上部の[…]をクリックすると、リモート操作でデバイスに対する処置が可能になる。例えば、[デバイスの分離]を選択してネットワークを切断したり、[アプリの実行を制限する]で署名のないプログラムの実行を制限したり、[調査パッケージの収集]でデバイスにインストールされているソフトウェアを調査したりできる。
全体の管理
全体の状況を確認したい場合は、[脆弱性の管理]にある[ダッシュボード]をチェックするといい。現在、どのような脆弱性が世間に存在しており、そのうち、組織内の端末で影響を受ける可能性があるデバイスがあるかどうかなどが確認できる。
例えば、以下の画面では、Windows 11の未修正の脆弱性がゼロデイとして表示されている。ゼロデイなので、修正プログラムが公開されて適用されるまでは、Windows 11が搭載された全てのデバイスは、この脆弱性に対して無防備であることが分かる(画面上は1台しかないので露出されたデバイスは1台のみ)。
1ユーザー363円なら安い
以上、Microsoft Defender for Businessの使い方を簡単に紹介したが、これ以外にも、脆弱性を修正するための更新プログラムの適用状況を管理したり、Windows以外のインストール済みのアプリケーションの脆弱性を確認したりと、多数の機能が搭載されている。
サービスとしては、前述したように1ユーザーあたり月額363円(5デバイスまで管理可能)なので、機能を考えると個人的にはかなりお得なサービスに思える。
旧来の侵入防御だけでは防ぎきれない脅威が増えていることを考えると、その後の対処まで可能になるEDRソリューションとして導入する価値は大きいと言える。Microsoft製品は、情報があちこちに分散しているほか、Docsのドキュメントが中上級者向けとなるため、若干、ハードルが高いのが難点だが、機能的には価格以上に価値のあるソリューションだ。