中小規模向けEDR「Microsoft Defender for Business」って何? 体験版でチェック!【イニシャルB】

INTERNET Watch

 中小規模のビジネス向けのエンドポイントセキュリティソリューションで、一般的には「EDR(Endpoint Detection & Response)」とも呼ばれる「Microsoft Defender for Business」がリリースされた。

 これまでMicrosoft 365で提供されてきたサービスのスタンドアロン版だ。何ができて、どう使うのかを体験版で試してみた。

「Microsoft Defender for Business」の管理画面

危険なPCの存在検知できますか? すぐ分離できますか?

 少し想像してみよう。

 「今、この時点で、あなたが働くオフィスに、マルウェアに感染したPC、もしくは感染が疑われる怪しい挙動をするPCが、存在するかどうかが分かりますか?」

 「もしも今、同僚からPCがマルウェアに感染したという報告があったら、そのPCをリモートからでも即座にネットワークから分離できますか?」

 「今、この瞬間、Windowsに修正されていないゼロデイ脆弱性があるかどうかを知っていますか? そして、その脆弱性を抱えているPCが社内に存在するかどうかが分かりますか?」

 上記3つの質問に対し、小規模オフィスの担当者などは、「NO」という回答が圧倒的に多いだろう。

 Windows 10以降のPCであれば、標準で「Microsoft Defender」が搭載されているため、最低限のセキュリティ対策はもちろんできている。

 しかし、仮にPCが感染してしまったとしても、その後の対策まで準備できているケースは少ないだろう。その上、予防という観点でセキュリティの状況を全体的に管理できることは、さらに少ないと思われる。

 Microsoft Defender for Businessは、こうした状況を改善するために、PCなどのエンドポイントのセキュリティ対策を強化できるソリューションだ。

 同様のサービスは、Microsoft 365 Business Premiumに含まれるかたちで提供されていたが、今回登場したMicrosoft Defender for Businessは、Microsoft 365のサブスクリプション契約がない組織でも1ユーザーあたり月額363円のわずかな料金で利用でき、高度なセキュリティ対策が可能となっている。

 数人から十数人規模の小さなオフィスでは、いわゆるOffice入りのPCを各人が購入して利用するケースが多く、OfficeがPCに入っているのに、さらにMicrosoft 365のサブスクリプションまで契約することは避けたいことも少なくない。

 こうした環境向けに、最低限のエンドポイントソリューションのみで構成されたスタンドアロンのサービスとして登場したのが、今回のMicrosoft Defender for Businessということになる。

Defenderにプラスのセキュリティ対策

 Microsoft Defender for Businessは、OS標準のウイルス対策であるMicrosoft Defenderの機能を強化するエンドポイントセキュリティソリューションだ。

 一般にはEDRと呼ばれることが多いが、デバイスへの攻撃や侵入を未然に防ぐ役割がOS標準のMicrosoft Defender(Smart Screenなども)であるのに対して、デバイスの挙動を監視し、マルウェア以外の不審な挙動を検知したり、不審な端末の分離や修復、調査などを実施したりできるのが、Microsoft Defender for Businessということになる。

Microsoft Defender for Businessの特徴

 こうしたサービスが登場する背景には、従来のセキュリティ対策だけでは検知が難しい「Emotet」のような脅威の登場、そしてリモートワークの普及によるPC管理の多様化・複雑化がある。

 近年流行しているサイバー攻撃では、Officeのマクロや、OS標準の機能であるPowerShell、コマンド、WMIなどが悪用されたり、攻撃もしくは攻撃のための準備がコードのみのファイルレスで実施されたりするケースが増えている。

 例えば以下は、Microsoft Defender for Businessでデバイスのテストに利用される不審な挙動をシミュレートしたコードだが、このコード自体はPowerShellなのでマルウェアではないし、ファイルでもないため旧来のマルウェア対策では見逃される可能性がある。こうした従来のマルウェア対策では発見しにくい脅威の対策が可能ということになる。

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

 また、リモートワークの普及によって、社内だけでなく社外にもデバイスが存在するケースが増えてきたことで、セキュリティ対策が複雑化している状況もある。例えば、社員が自宅に持ち帰ったPCがマルウェアに感染した場合、そのデバイスをどうやって修復するのか? どうやって社内のリソースにアクセスすることを防ぐのか? が大きな課題となる。

 Microsoft Defender for Businessでは、デバイスの管理をクラウドで提供することで、デバイスがインターネットに接続できさえすれば管理できる。このため、マルウェアの感染や不審な行動が発見された場合でも、管理者はクラウド上の管理画面からそのデバイスのネットワーク接続を簡単に遮断することなどができる。

 このほか、最新の脅威として、ランサムウェアやフィッシングの手口を確認したり、その脅威の被害を受ける可能性があるデバイス(更新が適用されていないなど)が存在するかどうか、といった状況を確認したりすることも可能だ。

 このようにエンドポイントでのセキュリティ対策の強化だけでなく、管理機能も同時に提供するのが、Microsoft Defender for Businessということになる。

30日間の体験版で試す

 それでは、実際の使い方を見てみよう。サービスは以下のアドレスから利用可能だ。今回は、無料の30日試用版を試してみた。

30日無料の試用版を利用可能。ただし、クレジットカード登録必要かつ自動更新なので注意

 まず、利用する上での要件だが、最低限必要なのはWindows 10 Business/Professional/Enterprise以降、またはmacOS(最新の3バージョンをサポート)が搭載されたデバイスとなる。

 日本国内の環境には、Windows 11/10 Home+Office Home & Business 2021という組み合わせが存在するため、小規模の法人環境で利用されるケースがあるHomeエディションでは、Windows Defender for Businessは残念ながら利用できないので注意しよう(実際に試したがオンボードスクリプトの実行で失敗する)。

 デバイスのOSエディションの条件さえ満たしていれば、ほかの準備は不要だ。Microsoft 365契約も、Azure AD環境も必要ない上、デバイスも個人向けMicrosoftアカウントでのサインインのみでOKで、[職場または学校にアクセス]の設定も必要ない。サイトからサインアップしてデバイスをオンボードすればサービスを利用可能になる。

 なお、Microsoft 365 Business Premiumに含まれるMicrosoft Defender for Businessを利用する場合は、Intuneを利用することで、Microsoft Defender for Businessへの登録(オンボード)を自動化できる。Microsoft Defender for Businessは300ユーザーまで対応可能だが、数十~数百規模の環境では、こちらの利用をお勧めする。

1.サインアップ

 Microsoft Defender for Businessのウェブサイトから、30日試用版にサインアップする。個人用のMicrosoftアカウント(outlook.jpなど)でサインアップ可能だが、管理にはサインアップ時に登録した組織名で構成されるAzure ADアカウント(□▲■@組織名.onmicrosoft.com)を利用する。連絡先、およびクレジットカード情報の登録も必要となる。

個人アカウントのみでサインアップ可能

Azure ADアカウントが発行される。管理にはこのアカウントを使う

 なお、無料体験版は自動更新によって30日経過後に有料版に自動的に切り替わるため、継続しない場合は、Microsoft 365[管理センター]から[課金情報]の[お使いの製品]から[継続請求]を編集して、オフにしておくことをお勧めする。

自動継続で有料化されるので、不要ならオフにしておく

2.Microsoft 365管理センターへアクセス

 セットアップが完了すると、Microsoft 365管理センター(http://admin.microsoft.com/)にアクセスできるようになるので、Azure ADアカウントでサインインする。左側のメニューから[管理センター]の[セキュリティ]をクリックし、Microsoft 365 Defenderの管理画面へと移動する。

Microsoft 365管理センターの画面

4.デバイスのオンボード

 デバイスをMicrosoft Defender for Businessへ接続する。ダウンロードしたスクリプトをデバイスにコピーした後、スタートメニューで検索したコマンドプロンプトを右クリックして管理者権限で実行した上で、スクリプトを実行する。実行時に[Y]キーを押せば、自動的にオンボードが実行される。

管理者権限で実行したコマンドプロンプトでスクリプトを実行

非対応のHomeエディションで実行した画面。サービスが存在しないというエラーが発生する。必ずProfessional以上で実行する必要がある

5.デバイスのテスト

 Microsoft 365 Defender管理センターの[設定]にある[エンドポイント]から[オンボーディング]を開き、[検出テストの実行]に記載されているテスト用のコードを、上と同様に管理者権限のコマンドプロンプトから実行する。PC側では特に何も発生しないが、管理画面で検出結果を確認できる。

[エンドポイント]の[オンボーディング]にある[検出テストの実行]に記載されたコードを、管理者権限のコマンドプロンプトで実行する

Microsoft Defender for Businessの管理

 オンボード後にしばらく(数時間かかる場合あり)待つと、Microsoft 365 Defender管理画面にある[エンドポイント]の[デバイスのインベントリ]に、デバイスが表示される。

 この状態になれば、デバイスが保護され、管理が可能になる。管理機能はたくさんあるが、ここでは主な機能をピックアップして紹介しよう。

[デバイスのインベントリ]にデバイスが表示されれば管理可能になる

デバイスの管理

 まずは、デバイスの状態を確認してみよう。一覧でデバイスをクリック(デバイス名のリンクではなく右側の方)すると、デバイスの状況確認ができる。

 上記テストを実行している場合、[アラート]にテストの検出結果が表示されるはずだ。このように、デバイス上で不審な行為が発生すると、アラートが表示されるようになる。

アラートを確認可能

 上部の[…]をクリックすると、リモート操作でデバイスに対する処置が可能になる。例えば、[デバイスの分離]を選択してネットワークを切断したり、[アプリの実行を制限する]で署名のないプログラムの実行を制限したり、[調査パッケージの収集]でデバイスにインストールされているソフトウェアを調査したりできる。

リモートから管理可能

[分離]を実行したデバイスの例。通知が表示され、Microsoft Defender for Business以外とのネットワーク接続が即座に不可能になる。管理画面で[分離の開放]を実行すると復帰される

全体の管理

 全体の状況を確認したい場合は、[脆弱性の管理]にある[ダッシュボード]をチェックするといい。現在、どのような脆弱性が世間に存在しており、そのうち、組織内の端末で影響を受ける可能性があるデバイスがあるかどうかなどが確認できる。

 例えば、以下の画面では、Windows 11の未修正の脆弱性がゼロデイとして表示されている。ゼロデイなので、修正プログラムが公開されて適用されるまでは、Windows 11が搭載された全てのデバイスは、この脆弱性に対して無防備であることが分かる(画面上は1台しかないので露出されたデバイスは1台のみ)。

脆弱性の管理が可能

調査

 このほか、実際の攻撃の事例を体験することもできる。[チュートリアル]を開くと、マクロやPowerShellなどを利用した攻撃をシミュレートするためのファイルやスクリプトが表示される。

チュートリアルの例

 これらをデバイスで実行することで、実際にどのような攻撃が行われるのか、どのようにMicrosoft Defender for Businessで検知されるのかを確認できる。

PowerShellを用いたファイルレス攻撃の実行例。外部にアクセスし、取得したメッセージをメモ帳で起動して表示する

チュートリアルの検知結果。外部に対して不審な接続が実行されたことなどが表示される

1ユーザー363円なら安い

 以上、Microsoft Defender for Businessの使い方を簡単に紹介したが、これ以外にも、脆弱性を修正するための更新プログラムの適用状況を管理したり、Windows以外のインストール済みのアプリケーションの脆弱性を確認したりと、多数の機能が搭載されている。

 サービスとしては、前述したように1ユーザーあたり月額363円(5デバイスまで管理可能)なので、機能を考えると個人的にはかなりお得なサービスに思える。

 旧来の侵入防御だけでは防ぎきれない脅威が増えていることを考えると、その後の対処まで可能になるEDRソリューションとして導入する価値は大きいと言える。Microsoft製品は、情報があちこちに分散しているほか、Docsのドキュメントが中上級者向けとなるため、若干、ハードルが高いのが難点だが、機能的には価格以上に価値のあるソリューションだ。

Source