PR20

Microsoft 365 で実践! さよなら!

ネットワーク セキュリティ

川上 貴史

日本マイクロソフト株式会社

セキュリティ技術営業部

テクノロジーソリューションプロフェッショナル

荒木 さつき

「境界防御」

境界防御を前提としたセキュリティ

インターネット

安全なネットワーク 安全ではないネットワーク

境界防御を前提としたセキュリティ

インターネット

安全なネットワーク 安全ではないネットワーク

クラウドサービスの登場

インターネット

安全なネットワーク 安全ではないネットワーク

クラウドサービスの登場

インターネット

安全なネットワーク 安全ではないネットワーク

クラウドサービスの登場

インターネット

安全なネットワーク 安全ではないネットワーク

クラウドサービスの登場

クラウドサービスの登場

VPN・VDIの経路を暗号化

クラウドサービスへの経路を暗号化

クラウドサービスの登場

• セッション数が2倍

• 消費帯域が2倍

• 認証が2回

• 暗号・復号処理を2回

• IPルートの再考

• PACファイルの再考

VPN・VDIの経路を暗号化

クラウドサービスへの経路を暗号化

クラウドサービス利用時にネットワークのサイジング調整が必須

クラウドサービスへのセキュリティ

• クラウドセキュリティの4つのポイント• 利用サービスの可視化

• 脅威からの防御

• コンプライアンスの確保

• データの保護

VPN・VDIの経路を暗号化

クラウドサービスへの経路を暗号化

対策に必要な導入・運用・人・お金がおいつかないよ・・・

クラウドサービスの登場は境界防御の終焉

インターネット

安全なネットワーク 安全ではないネットワーク

だから、「ゼロトラストネットワーク」だから、「Microsoft 365」

「ゼロトラストネットワーク」 です！

「Microsoft 365」

大事なことなのでもう1回！

セキュリティで守るべきもの

Identity & access management

IDとアクセス管理

Threat protection

脅威からの保護

Information protection

情報保護

Security

management セキュリティ統合管理

こんにちは 「Microsoft 365」です！

21

Enterprise Mobility+ Security

Windows 10

検知分析防御力向上 被害軽減 事後対応

なりすまし対策

マルウェア対策

多要素認証ユーザーIDの統合

認証基盤要塞化

サーバーの安全公開

標的型メール対策 スパムメール対策

アクセス制御

安全なWeb閲覧

安全な構成

脆弱性緩和

ログ管理 ネットワーク分離

ドキュメント暗号化

標的型攻撃検知 メール暗号化

侵入拡大防止

盗難紛失対策

電子文書管理

不正アプリ起動防止

ファイル追跡

アクセス権の無効化

リモートワイプ

Office 365

ユーザーを取り巻くセキュリティ

ユーザー

オンプレミス

クラウドサービス

Microsoft365をユーザーに適用すると

ユーザー

オンプレミス

クラウドサービス

Intune

System CenterConfiguration Manager

Windows DefenderAdvanced Threat Protection

AzureInformation Protection

AzureInformation Protection

Microsoft Cloud App Security

Azure ActiveDirectory Premium

WindowsInformation Protection

「Microsoft Information Protection」

セキュリティの管理

ユーザー

オンプレミス

クラウドサービス

管理者

Microsoft365を管理者に適用すると

ユーザー

オンプレミス

クラウドサービス

管理者

Office 365 AdvancedThreat Protection

Azure ActiveDirectory Premium

Azure ActiveDirectory Premium

Office 365 ThreatIntelligence

Microsoft365を管理者に適用すると

ユーザー

オンプレミス

クラウドサービス

管理者

各ポイントで検知されたインシデント・イベントを集約し、インシデントの原因をつきとめ、被害を局所化し封じ込めを行う

セキュリティの管理

ユーザー

オンプレミス

クラウドサービス

管理者

各ポイントで検知されたインシデント・イベントを集約し、インシデントの原因をつきとめ、被害を局所化し封じ込めを行うEnterprise Mobility

+ Security

Windows 10

Office 365

Microsoft ATPのすべて

攻撃の持続性確保タスクスケジューラやレジストリの変更により攻撃の持続

性を確保

OS の脆弱性を利用した権限の昇格

悪意のあるサイトへの誘導

悪意のあるサイトへ誘導してバックドアを仕込む

悪意のある Office マクロやスクリプトの利用

攻撃者のサーバーに接続するためのツールとして悪用

拡張子を偽装したファイルの利用

(RLO 攻撃)Exe を実行させるために拡張子を右から左に変更し、アイコンを Office や PDFに偽装

する

不審な IP アドレスとの通信

ハッカーのサーバへの通信を確立させ攻撃を継続化させる

既知のマルウェアウイルス、ワーム、

トロイの木馬、スパイウェアなど既知の

マルウェア攻撃

ランサムウェアデータを暗号化し暗号化解除に仮想通貨での支払いを要求

する

ファイルレス攻撃実行ファイルを利用せず、

Power Shell やコマンドなど正規のプログラムを攻撃に活

用

正規のプロセスになりすまして攻撃

プロセスホロウィングなど正規のプロセスに偽装して攻撃

を行う

Cyber Kill Chainに基づく多層型検知・防御ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

ドメインを乗っ取るためのネットワーク内部調査

同じネットワークにいる端末に横展開するための偵察行為

他の端末に不正アクセスMimikaz や psexec などのツールを使用し、Pass the

Hash やPass the Ticket を利用した

不正アクセスを実施

ドメイン侵害ドメイン Admin の資格情報を保有する端末に不正アクセスし資格情報を不正に取得

偵察

なりすましメール悪意のある添付ファイルやURL が記載されたメールが

着弾

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

個別最適での導入で運用が回せるのか？！

Cyber Kill Chainに基づく多層型検知・防御ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

偵察

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

検知Detect

防御Protect

対処Respond

Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確

認Office 365 Threat

Intelligence悪質なメールの詳細取得及び細かい対応が可

能

Office 365 ATP不正なリンクへの誘導を

防御

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderApplication Guard

セキュアブラウザにより不正サイトを

介した攻撃を防御

Windows DefenderExploit Guard

Network Protection

Windows DefenderAntivirus

既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知

Windows DefenderExploit Guard

Controlled Folder Access

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderCredential GuardPass The Hash,

Pass the Ticket からの防御

Azure ATPGolden Ticket や

特権アカウントなどの検知Advanced Threat

Analytics (On Premise)

Azure ATPPass the Hash, Pass the

Ticket などの検知Advanced Threat

Analytics (On Premise)

Windows DefenderATP

RLO 攻撃を検知

Windows DefenderATP

プロセスホロウィングなど正規のプロセスからの

攻撃を検知

Windows DefenderATP

バックドアなどの異常行動を検知

Windows DefenderATP

不正な権限昇格を検知

Windows DefenderATP

ポートスキャン等の内部偵察を検知

Microsoft ATP

Office 365 ATPWindows

Defender Series

Windows

Defender ATP

Azure ATP

クラウドセキュリティ (個別最適なケースが多い) As-Is

本社

Azure AD

悪意のある添付ファイルフィッシングリンク付きのメール

SharePoint等からファイルの

大量ダウンロード

悪質なメールの削除 既知対策をインライン

未知対策を検知モードで実装

している場合がほとんど

脅威

CASBは

まだまだ検討段階

認証の可視化は

されていない場合がほとんど

ブルートフォース攻撃漏洩した資格情報での

ログイン

既知対策のAVのみ実装

している場合がほとんど高度なファイルレス攻撃未知のマルウェア感染

操作ログは取得しているが

DLPはまだまだ検討段階

機密情報の漏洩

Office 365

悪意のあるメールの削除対応は

人的な連携で運用している

場合がほとんど

EDRを含めたエンドポイントセキュリティ

クラウドセキュリティ (全体最適＆自動連携) To-Be

本社

Office 365 ATP

悪質な添付ファイルの振る舞い分析悪質なフィッシンリングリンクの書き換え

マイクロソフト解決策

脅威

Cloud App Security

シャドーITの検出SaaS内での機密情報の可視化異常行動検知

Azure ATP

不正なIPからのサインインの検知・対処異常な場所移動でのサインイン検知・対処

Windows Defender ATP

エンドポイントの攻撃の検知・自動調査および自動対処

Azure Information Protection

機密情報の自動ラベリングおよび暗号化

Office 365

Threat Intelligence

O365 へのテナント攻撃を可視化メールボックスに対して未読状態のマルウェア添付メールの削除可能

EDRを含めたエンドポイントセキュリティ

Azure AD

悪意のある添付ファイルフィッシングリンク付きのメール

SharePoint等からファイルの

大量ダウンロード

悪質なメールの削除

ブルートフォース攻撃漏洩した資格情報での

ログイン

高度なファイルレス攻撃未知のマルウェア感染

機密情報の漏洩

エンドポイントセキュリティ (OSビルトイン)

既知のマルウェア対策(シグネチャマッチング)

未知のマルウェア対策①＋②(ファイルレピュテーション

+ 機械学習)

不審な挙動の検知(EDR for IOA)

高度な攻撃の検知(EDR for IOC)

- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)

Windows Defenderウイルス対策

Windows DefenderCloud Protection

+ Machine Learning

Windows Defender ATP

Windows DefenderATP

Windows DefenderExploit Guard

BitLocker

Windows DefenderDevice Guard

HDD/SSD暗号化

資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard

未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)

- この対策は未導入 -

最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)

ブートレコード保護 - 弊社以外に競合製品なし -

Trend Micro VB Corp.

（1,000円前後？*）

- この対策は未導入 -

1階

3階

１デバイス当たり

管理サーバやクライアントのバージョンアップ対応コスト大

2階

- この対策は未導入 -

- この対策は未導入 -

某アンチウィルス 製品要オンプレ

サーバ (DB)無償に

既存対策費用をご投資頂くことにより、

展開費用無しで、自動化された高度

な脅威対策が可能に！

管理サーバ不要OSビルトインでバージョンアップ対応コスト無し

対処の

自動化

１ユーザ(ID)当たり

某ドライブ暗号化 製品

Cyber Kill Chainに基づく多層型検知・防御ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

偵察

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

検知Detect

防御Protect

対処Respond

Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確

認Office 365 Threat

Intelligence悪質なメールの詳細取得及び細かい対応が可

能

Office 365 ATP不正なリンクへの誘導を

防御

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderApplication Guard

セキュアブラウザにより不正サイトを

介した攻撃を防御

Windows DefenderExploit Guard

Network Protection

Windows DefenderAntivirus

既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知

Windows DefenderExploit Guard

Controlled Folder Access

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderCredential GuardPass The Hash,

Pass the Ticket からの防御

Azure ATPGolden Ticket や

特権アカウントなどの検知Advanced Threat

Analytics (On Premise)

Azure ATPPass the Hash, Pass the

Ticket などの検知Advanced Threat

Analytics (On Premise)

Windows DefenderATP

RLO 攻撃を検知

Windows DefenderATP

プロセスホロウィングなど正規のプロセスからの

攻撃を検知

Windows DefenderATP

バックドアなどの異常行動を検知

Windows DefenderATP

不正な権限昇格を検知

Windows DefenderATP

ポートスキャン等の内部偵察を検知

Microsoft ATP

Office 365 ATP

メールを入り口とした悪意のある攻撃を「検知&ブロック」

①既知のマルウエアに対する保護

②未知のマルウェアに対する保護

③悪意のある URL に対してクリック時の保護をリアルタイムに提供

Office 365 ATPへの投資と継続的な機能実装

マルウェア検知率

99.9%

ファイルの

デトネーション時間

平均45秒新機能の追加実装

他のサービスと連携：メール以外の経路からの侵入にも対応

Microsoft Teams

BEC (Business Email Compromise) ビジネスメール詐欺被害状況

世界での被害件数

22,143 件以上

世界での被害総額

3100億 円

１件あたりの被害額

1600万 円

2013年10月から2016年6月における「BEC」の活動による調査情報 https://www.ic3.gov/media/2016/160614.aspx

BECとは企業や法人における業務メールの盗み見を発端に、

経営幹部や取引先を偽装するなりすましメールにより、偽の送金指示を送る詐欺手口

Office 365 ATP フィッシング対策

①社内端末に感染からメールのやり取りなど監視する

②宛先をCEOに成りすまして、CEOに成りすまして金銭振り込みのメールをCFOに送る

CFOに対しては金銭的なやり取りや振り込み命令を定期的に行っている

CFO

【検知】

Office 365 ATP フィッシング対策による保護対象により、

なりすましメールを検知、管理者に連絡が行くとともに

メールを検疫する事が可能。

• ドメイン偽装

• ユーザーのなりすまし

2点に関してのなりすまし対策をする事が可能

【対処】

• 検疫フォルダに送信、受信者にメールは届かない

• 管理者アドレスにそのメールを送信

• 受信者の迷惑フォルダに送信

• メッセージを送信し、Bccで他のユーザーにメールを送信

などの対処をする事が可能、ドメイン単位、ユーザー単位でアクションも様々に設定する事が可能。

IT管理者

③Office 365 ATP が検知するとメールを検疫にかける

フィッシング対策CEOなどになりすましてCFOにメールを送った際に検知し、メールを検疫にかける事が可能

ドメインとユーザーのなりすましを検知

Office 365 ATP と競合他社との利用ユーザ規模の比較

Office 365 ATP の検出機能を利用するお客様の数は急増しており、他のトップ セキュリティ ベンダーのユーザー数をすべて合わせても、

Office 365 ATP の利用者数には届きません。この数は、シェア第 ２位のベンダーのエンド ユーザー数の３倍になります。

利用ユーザ数は

そのベンダーが保持している

脅威情報の質や量に直結する

ため、セキュリティ・ソリューション

をご検討いただく上で

非常に重要な要素です

Cyber Kill Chainに基づく多層型検知ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

偵察

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

検知Detect

防御Protect

対処Respond

Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確

認Office 365 Threat

Intelligence悪質なメールの詳細取得及び細かい対応が可

能

Office 365 ATP不正なリンクへの誘導を

防御

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderApplication Guard

セキュアブラウザにより不正サイトを

介した攻撃を防御

Windows DefenderExploit Guard

Network Protection

Windows DefenderAntivirus

既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知

Windows DefenderExploit Guard

Controlled Folder Access

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderCredential GuardPass The Hash,

Pass the Ticket からの防御

Azure ATPGolden Ticket や

特権アカウントなどの検知Advanced Threat

Analytics (On Premise)

Azure ATPPass the Hash, Pass the

Ticket などの検知Advanced Threat

Analytics (On Premise)

Windows DefenderATP

RLO 攻撃を検知

Windows DefenderATP

プロセスホロウィングなど正規のプロセスからの

攻撃を検知

Windows DefenderATP

バックドアなどの異常行動を検知

Windows DefenderATP

不正な権限昇格を検知

Windows DefenderATP

ポートスキャン等の内部偵察を検知

Microsoft ATP

Windows

Defender ATP

エンドポイントセキュリティ (OSビルトイン)

47

既知のマルウェア対策(シグネチャマッチング)

未知のマルウェア対策①＋②(ファイルレピュテーション

+ 機械学習)

不審な挙動の検知(EDR for IOA)

高度な攻撃の検知(EDR for IOC)

- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)

Windows Defenderウイルス対策

Windows DefenderCloud Protection

+ Machine Learning

Windows Defender ATP

Windows DefenderATP

Windows DefenderExploit Guard

BitLocker

Windows DefenderDevice Guard

HDD/SSD暗号化

資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard

未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)

- この対策は未導入 -

最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)

ブートレコード保護 - 弊社以外に競合製品なし -

Trend Micro VB Corp.

（1,000円前後？*）

- この対策は未導入 -

1階

3階

１デバイス当たり

管理サーバやクライアントのバージョンアップ対応コスト大

2階

- この対策は未導入 -

- この対策は未導入 -

某アンチウィルス 製品要オンプレ

サーバ (DB)無償に

既存対策費用をご投資頂くことにより、

展開費用無しで、自動化された高度

な脅威対策が可能に！

管理サーバ不要OSビルトインでバージョンアップ対応コスト無し

対処の

自動化

１ユーザ(ID)当たり

某ドライブ暗号化 製品

高度化・巧妙化する攻撃手法

ソーシャルエンジニアリング攻撃

1 Day エクスプロイト

ファイルベースのユーザーモードのマルウェア

ASEP による永続性

端末間を移動する Pass the Hash ツール

現在

0-day エクスプロイト

プロセスインジェクションによるメモリベースの攻撃

カスタムツールで端末間を移動

メモリベースの攻撃

0-day エクスプロイト

カーネルモードの悪用とカーネルインプラントによる永続性

カーネルベースの攻撃

巧妙な攻撃の早期検知・対応が必要

ファイルベース ファイルレス

定義ファイル更新型のアンチウイルス ソフトの限界

マルウェアのライフサイクルは

シグネチャ ベースの保護よりも速い

定義ファイルは平均 20 時間後に

亜種に対応するが(Windows Defender AV は 1 日に 3 回の配信)

そもそもマルウェアの 85％ は

亜種であり、最初の 4 時間で世の中の

デバイスの 30％ が感染し、

攻撃者は 7 時間以内に攻撃を追える

最初の 4 時間でデバイスの30％ が

感染

20 時間後に

シグネチャ アップデートが行われる PC が増える

マルウェアの着弾の時系列

マルウェアの感染割合

定義ファイルの更新割合

マルウェアの多品種化 (ロングテール) 総量で見ると既知のマルウェアが

大半を占めるが、種類で見ると

96% ものマルウェアが一度しか

検出されない

言い換えると総数ではなく種類で見ると 96%

ものマルウェアが未知

頻度

種類

EDRが担うべき領域

AV(EPP)が担うべき領域

２度現れる

4%は

AV(EPP)が担うべき領域

２度と現れない96%は

EDRが担うべき領域

Endpoint Detection and

Response

EDR は、進行中の高度な攻

撃を早期に特定し、検出され

た攻撃に、迅速に対応するた

めに作られた、新しいセキュリ

ティ技術です。

そもそも EDR って何？

以下の 4 機能を備えたソリューション

① セキュリティ インシデントの検出

② セキュリティ インシデントの調査

③ インシデントを封じ込める

④ エンドポイントを修復する

Windows Defender ATP 動作概要

管理者

クライアント

常駐のセンサーでクライアントの情報を収集

例）

プロセッサー、レジストリ、ファイル、ネットワーク

収集したデータを

クラウドに送信

ポータルで

現状の把握 専用のテナント

クラウドからの情報

セキュリティ業界からの

情報

Microsoft 社内の

セキュリティ技術者の情報

Microsoft 社内の

リサーチ結果

Microsoft Threat Intelligence 蓄積された Knowledge の活用

Windows

Defender ATP

Security Information and

Event Management (SEIM)

エンドポイントセキュリティ (OSビルトイン)

既知のマルウェア対策(シグネチャマッチング)

未知のマルウェア対策①＋②(ファイルレピュテーション

+ 機械学習)

不審な挙動の検知(EDR for IOA)

高度な攻撃の検知(EDR for IOC)

- 弊社以外の競合製品は少ない -(IOAに対応している製品は少ない)

Windows Defenderウイルス対策

Windows DefenderCloud Protection

+ Machine Learning

Windows Defender ATP

Windows DefenderATP

Windows DefenderExploit Guard

BitLocker

Windows DefenderDevice Guard

HDD/SSD暗号化

資格情報の保護 - 弊社以外に競合製品なし -Windows DefenderCredential Guard

未知のマルウェア対策③(脆弱性/マクロ悪用対策 + NW保護)

- この対策は未導入 -

最新の脅威に対する対策要件 とある構成 (As-Is) 全部入りです(To-Be)

ブートレコード保護 - 弊社以外に競合製品なし -

Trend Micro VB Corp.

（1,000円前後？*）

- この対策は未導入 -

1階

3階

１デバイス当たり

管理サーバやクライアントのバージョンアップ対応コスト大

2階

- この対策は未導入 -

- この対策は未導入 -

某アンチウィルス 製品要オンプレ

サーバ (DB)無償に

既存対策費用をご投資頂くことにより、

展開費用無しで、自動化された高度

な脅威対策が可能に！

管理サーバ不要OSビルトインでバージョンアップ対応コスト無し

対処の

自動化

１ユーザ(ID)当たり

某ドライブ暗号化 製品

IOC : Indicator of Compromise既知の攻撃のデータベース

✓ マルウェア

✓ シグネチャ

✓ エクスプロイト IP アドレス

✓ 脆弱性

IOA : Indicator of Attack未知の攻撃のデータベース

✓ 水平移動

✓ C&Cサーバーへの接続✓ ステルス行動、永続性

✓ コード実行

Cyber Kill Chainに基づく多層型検知ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

偵察

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

検知Detect

防御Protect

対処Respond

Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確

認Office 365 Threat

Intelligence悪質なメールの詳細取得及び細かい対応が可

能

Office 365 ATP不正なリンクへの誘導を

防御

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderApplication Guard

セキュアブラウザにより不正サイトを

介した攻撃を防御

Windows DefenderExploit Guard

Network Protection

Windows DefenderAntivirus

既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知

Windows DefenderExploit Guard

Controlled Folder Access

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderCredential GuardPass The Hash,

Pass the Ticket からの防御

Azure ATPGolden Ticket や

特権アカウントなどの検知Advanced Threat

Analytics (On Premise)

Azure ATPPass the Hash, Pass the

Ticket などの検知Advanced Threat

Analytics (On Premise)

Windows DefenderATP

RLO 攻撃を検知

Windows DefenderATP

プロセスホロウィングなど正規のプロセスからの

攻撃を検知

Windows DefenderATP

バックドアなどの異常行動を検知

Windows DefenderATP

不正な権限昇格を検知

Windows DefenderATP

ポートスキャン等の内部偵察を検知

Microsoft ATP

IOA と IOC を両方用いて検知・対処する事が大切ひとつひとつの痕跡に対する判断では悪意のある行為か通常の行為かの区別がつかないが、

IOA と IOC のアラートを一連の行為を関連付けて考えれば、悪意のある行為だと推定できる。

既知のマルウェア検知不正なIPアドレスとの

通信資格情報の盗難

Power Shellコマンドリモート実行

通常ないIPアドレスとの通信

IOC

IOA

54

サイバーキルチェーン毎のアラート表示

エンドポイント上でどのように

攻撃されているのか可視化

EnterpriseE5

サイバーキルチェーンのカテゴライズにのっとり

アラートを表示

一つのエンドポイントでどのように侵害され

たのか把握可能

55

攻撃の具体的な流れの可視化

EnterpriseE5

Power Shell コマンドも詳細把握可能

レジストリに永続化のプロセスを仕込んだ詳

細まで把握可能

プロセスやexeなどの動作順序がすべてトラッキングし

ているので、

どのプロセスが悪さをしているのか把握可能

コマンドベースで検知可能

56

EnterpriseE5

他の端末で同じexeファイルやプロセスが動作している場合

はIncident Graphにより可視化、横展開を知らせる

今回は他に5台実行している端末が見つかる

拡散の基点

拡散の広がりを把握する事が可能

脅威の拡散状況の可視化(Incident Graph)

57管理コンソール : アクション

クライアントの特定のプロセスの停止管理コンソールより、クライアント端末で実行されている特定のプログラムのプロセ

スを停止可能。

特定のファイルの実行防止管理者がファイルを登録することで、企業内のクライアント端末上で特定のファイ

ルの実行を防止。※ 本機能は「Windows Defender ウイルス対策」の利用が必要

ネットワークからの切り離し

管理コンソールより、特定のクライアント端末をネットワークから切り離すことが可

能。

フォレンジック解析用のデータ取得セキュリティ インシデントの調査用ファイルの収集が可能

57

EnterpriseE5

Windows Defender ウイルス対策のスキャン遠隔でアンチウイルスソフトのスキャンの命令を行う事が可能。

Microsoftの証明書が付与しているアプリのみの実行制限Microsoft以外の証明書が付与しているアプリを動作させないようにする事が可

能。

管理コンソールからクライアントへの対応が可能

組織内の全ての端末をリモートで対処

58

EnterpriseE5

Hexadite の技術を統合セキュリティ オートメーションでの実績がある

Hexadite 社の技術を Defender ATP の機能へ統

合。

セキュリティ侵害に対する自動的な調査や対策を行

う人工知能（AI）ベースの機能。

Automated Investigationアラートの調査や脅威への対処を、人手を介入させ

ることなく、あるいは半自動モードで行える。

Automated Investigation

他の端末での相関などもAIが判断して自動で横断的に調査し対処

AIを活用した対処の自動化

Built in. Cloud powered

Windows Defender ATP

ENDPOINT DETECTION & RESPONSE

高度な攻撃の検出、調査、対応

ATTACK SURFACE REDUCTION

攻撃・攻略行為の阻止

AUTO INVESTIGATION& REMEDIATION

脅威の発見からいち早く対処

SECURITY POSTURE

組織のセキュリティの状況を可視化し、改善する

NEXT GENERATION PROTECTION

新たな脅威から保護する

MANAGED HUNTING

Managed HuntingService

統合管理

Windows Defender ATP = EDRだけじゃない！！！

Windows Defender ATP vs 他EDRベンダー製品

要件 WD ATP 他EDRベンダー製品 補足

エクスプロイト対策ができるか 〇次世代型AV機能がOSビルトイン

Xこれができないとすり抜けが多くなる

ファイルレス攻撃やマクロ悪用攻撃などに対す

る次世代型AV機能も含まれているか

IOC情報だけでなく

IOA情報も検知できるか〇 ほぼX or 一部〇

検知できる内容が限定される

EDRに求められる価値の1つとして、マルウェア

の挙動に関する情報を漏れなく記録するため

に、IOA情報も検知できる必要がある

EXOメールとの連携 〇 Xメール運用チームとの人的な連携必要

検知したメール由来の攻撃に対して、全社的に

同様のメールが届いていないか即座に把握し、

メールへの対処も連携して実施できるか

Azure ADとの連携 〇 XAD運用チームとの人的な連携必要

攻撃された端末のリスクレベルに応じ、企業の

機密データを含むクラウド/オンプレサービスへの

アクセス権を、即座に自動コントロールできるか

脅威ハンティング機能

およびサービス〇

元から機能あり/MSSで活用

ほぼX or 一部〇元から機能なし/MSSとは別のサービス

脅威情報の活用ができるか

WD ATPの場合、プラットフォームに付属してい

るため、MSSで活用も当たり前

カーネルモードで稼働するか 〇 ほぼX or 一部〇検知できる内容が限定される

カーネルモードで稼働すると、ユーザーモードで稼

働するよりも、より詳細な挙動を検知でき、且

つ端末への負荷も少ない

インシデントレスポンス自動化

が実装されているか〇

自動化機能がOSビルトイン

Xインシデントレスポンスに時間を要する

自動化が実装されているEDR製品はWDATP

以外には存在しない。MSSのコスト低減にも寄

与する可能性を見出せる。

CASBとの連携 〇エージェント機能がOSビルトイン

Xクラウドサービスを利用するにあたって、CASBの

要件がある場合、ProxyやAPI経由でのCASB

よりも、エージェント型CASBは運用的に有利

Cyber Kill Chainに基づく多層型検知・防御ソリューション

メールの受信 添付ファイルを開く

URL をクリック 攻略行為

マルウェアや悪意のあるコードの実行

攻撃者のサーバーへ接続 持続性 権限の昇格 侵入拡大

リソースへのアクセス内部偵察

偵察Reconnaissance

攻撃Exploitation

配送Delivery

インストールInstall

偵察

遠隔操作Command & Control

目的達成Objectives

侵入拡大Lateral Movement

検知Detect

防御Protect

対処Respond

Office 365 ATPサンドボックス環境で添付ファイルを実行し不正な動きをするか確

認Office 365 Threat

Intelligence悪質なメールの詳細取得及び細かい対応が可

能

Office 365 ATP不正なリンクへの誘導を

防御

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderApplication Guard

セキュアブラウザにより不正サイトを

介した攻撃を防御

Windows DefenderExploit Guard

Network Protection

Windows DefenderAntivirus

既知のマルウェア検知、Cloud Protection による未知のマルウェアの検知

Windows DefenderExploit Guard

Controlled Folder Access

Windows DefenderExploit GuardAttack Surface

Reduction

Windows DefenderCredential GuardPass The Hash,

Pass the Ticket からの防御

Azure ATPGolden Ticket や

特権アカウントなどの検知Advanced Threat

Analytics (On Premise)

Azure ATPPass the Hash, Pass the

Ticket などの検知Advanced Threat

Analytics (On Premise)

Windows DefenderATP

RLO 攻撃を検知

Windows DefenderATP

プロセスホロウィングなど正規のプロセスからの

攻撃を検知

Windows DefenderATP

バックドアなどの異常行動を検知

Windows DefenderATP

不正な権限昇格を検知

Windows DefenderATP

ポートスキャン等の内部偵察を検知

Microsoft ATP

Azure ATP

ID 侵害を可視化するダッシュボード

Microsoft ATP

Microsoft ATP （Office 365 ATP / Windows Defender ATP / Azure ATP）を活用すること

により相互に情報連携し、サイバー攻撃をより可視化し、適切な運用判断が可能に。

Office 365 ATP Windows Defender ATP Azure ATP

Microsoft ATP

Office 365 x Windows Defender ATP

Email から来た攻撃をより可視化し、対処することが可能

悪質なメールの詳細情報

悪質な添付ファイルの受信状況

悪質なファイルが含まれたメールの詳細

Office 365 Threat Intelligence

特定の悪質なファイルの受信状況

Windows Defender ATP Office 365 ATP

Office 365 x Windows Defender ATP

マクロ付きの WORD ファイル「How to reactivate your account.docm」の詳細情報

ファイルを実行した端末は１台同じファイルが５つのメールに存

在している

ポイント③

適切なアクションの実行

Office 365

Threat Intelligence

マクロ付きの WORD ファイル「How to reactivate your account.docm」の

SHA256をフィルタとしてOffice 365 ATPポータルで受信履歴を表示

同じ件名・送信者・送信IPであることが判明

5つメールの送信先アドレスも判明

5つの悪質なメールに対するアクションを実行

ポイント①

同じ添付ファイルのメールが組織の受信箱に5つあること、実

際に実行されたのは1台と判明

ポイント②

5つのメールの詳細を理解Windows Defender ATP Office 365 ATP

Windows Defender ATP x Azure ATP

ユーザの異常なアクセスおよび端末の横展開などの攻撃を可視化することが可能

特定のユーザ ID に対する Azure ATP リンクが搭載 ID ベースの異常なアクセスおよび Pass the Hash 等の攻撃を検知可能

Windows Defender ATP Azure ATP

連携によりインシデントへ秒速で対応

エンドポイント

PC（Windows 10）

ID基盤（Azure ATP）

メールサービス（Office 365）

すべての工程を数秒～数分で対応することができ運用工数が削減できる

ID 連携

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。