Microsoft、社内のデバイス約60万台で約200万件のウイルスを検出、感染は41件

　Microsoftでは、100カ国で約15万人の社員が約60万台のデバイスを利用しているが、2015年下半期には約200万件のウイルスが検出され、41件の感染が確認されたという。Microsoftは7日に日本のセキュリティチーム公式ブログでこれを公表するとともに、対策方法について解説を行っている。

　Microsoft社内で検出された約200万件のマルウェアは、マルウェア対策ソフトにより検出され、ブロックされた件数となる。感染した41件は、定義ファイルに反映されていない新種のマルウェアで、後日定義ファイルがアップデートされて発見されたものを指している。

　Microsoftの社内ネットワークに接続されたデバイスでは、6日以内の定義ファイルが適用された最新バージョンの「Windows Defender」か、「System Center Endpoint Protection 2012（SCEP）」が稼働している必要があり、月平均で約98％のデバイスがこのポリシーに準拠している。

　ただし、「60万台を抱える組織で、常に100％を目指すのは、コストや現実的な運用を鑑みると実現不可能」とした上で、Microsoftの社内IT環境におけるセキュリティ対策のゴールは、「マルウェアが添付された標的型メールの開封率をゼロにしたり、マルウェア対策ソフトの稼働率を100％にしてウイルス感染率をゼロにすることではない」としている。

　攻撃者にとっては、マルウェアなどの方法を利用して、情報を盗み、金銭を得ることがゴールとなる。防御側のゴールは、これを達成させないこと。つまり、セキュリティ侵害による情報漏えいを可能な限り防ぎ、実際に侵害にあった際には被害を最小限にすることとなる。

　約200万件のマルウェアを検知しているように、マルウェア対策ソフトの効果は高いが、検知されるのを回避するように設定するなど、現在は攻撃の巧妙化が進んでいる。このため、マルウェアへの感染を前提とした「多層防御」が重要となる。

　多層防御について、Microsoftが社内のIT環境で実行している例として、OS以外のソフトウェアを含むセキュリティ更新プログラムや最新アップデータの適用、マルウェア対策ソフトの実行に加えて、Active Directoryによるグループポリシー管理、Microsoft Intuneによる更新プログラムの適用や、ファイアウォール、SmartScreenなどのセキュリティ機能の有効化が挙げられている。

　さらに、マルウェア対策ソフトでは検出しない脅威にいち早く対応するため、「Windows Defender Advanced Threat Protection」などの侵入検出システムが利用されているという。また、JavaやFlashといった攻撃の糸口となり得る問題を含んだ技術について、必要性を検討し、最小限の利用にとどめているほか、P2Pソフトをはじめとした好ましくないソフトウェアのインストールを「AppLocker」により禁止している。

　また、「Windows Management Framework 5.0」により、「PowerShell v5」の備える「Script Block Logging」「System-Wide Transcripts」「Constrained PowerShell」「Anti-malware integration（AMS）」の各セキュリティ機能も有効にしている。資格情報を保護するため、強力なパスワードポリシーを実装した上で、多要素認証やスマートカード認証も必要に応じて取り入れられている。

　重要なシステムには、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit （EMET）」を適用している。41件の感染事例についても、その経緯や被害を分析し、多層防御に取り入れているという。