ランサムウェア対策に効果的なDefender for IdentityとDefender for Cloud：機能と関係性を解説

近年では、ランサムウェアによる被害が増加しています。ランサムウェアは一度コンピュータに侵入すると、身代金を支払わない限り復旧ができません。そのような脅威から組織を守るためには、アカウント保護ができるDefender for identityやセキュリティを一元管理できるDefender for Cloudが有効的です。本記事では、Defender for identityとDefender for Cloudの概要や機能、関係性について解説します。

ランサムウェアによる被害の防止対策をする重要性

ランサムウェアは、悪意のあるソフトウェアの一種で、感染したコンピュータのデータを暗号化して使用不能にします。さらに復旧のために身代金を要求するものです。一度感染してしまうと、身代金を支払わない限り、暗号化されたデータの復号キーを提供しません。

ランサムウェアは個人や企業、政府機関など広範な対象に対して攻撃します。ランサムウェアによる被害は減少する兆しを見せず、むしろ増加しています。IPAが発表した「情報セキュリティ大脅威2024[1] 」では、ランサムウェアの脅威が前年に続いて第1位にランクインしています。このような状況下で、企業のITセキュリティを考える際には、ランサムウェアへの防止対策が不可欠です。ランサムウェアの脅威を認識し、適切な防止対策を講じることが求められます。

アカウントを保護するDefender for Identityとは

Microsoftが提供するDefender for Identityは、Active Directoryトラフィックを収集・分析することでIDのリスク管理ができるサービスです。クラウドとオンプレミスのハイブリッド環境での高度な攻撃を検出できます。これは、ランサムウェアの防止対策に役立ちます。

構成要素

Defender for Identityを構成する要素について解説します。

Microsoft 365 Defender ポータル

センサーから受信したデータを表示し、組織全体とその全てのコンポーネントの脅威に対する保護、検出、調査をする機能です。シンプルなレイアウトで、情報への迅速なアクセスが可能です。

Defender for Identity センサー

Active Derectoryフェデレーションサービス（AD FS）サーバーに、センサーを直接インストールするセンサーです。センサーによって、ドメインコントローラー、ネットワークトラフィック、認証イベントを監視します。

Defender for Identity クラウドサービス

さまざまな種類の高度なサイバー攻撃や内部脅威から、クラウド環境やオンプレミス環境を保護するのに役立ちます。Microsoftのインテリジェントセキュリティグラフに接続され、センサーから収集した挙動やエンティティの動作、アクティビティを監視します。

機能

Defender for Identityの機能について解説します。

優秀な専用センサーによる監視

オンプレミス環境のActive Directoryにインストールした監視ツールにより、組織ドメインとネットワークトラフィックやイベントを監視します。

脅威を検知するセキュリティアラート

センサーによって検出された疑わしいアクティビティや、脅威に関係するユーザーやコンピュータを通知する機能です。脅威に関係するユーザーやコンピューターへの直接リンクが通知されるため、調査を簡潔に行うための手助けをします。

セキュリティポリシーの見直しを提案するセキュリティレポート

組織のセキュリティやポリシーの見直しのために、危険な認証を行うユーザーやデバイスを特定し、有益な情報を提供します。

ユーザーIDを安全に保護するユーザープロファイル分析

セキュリティレポートとユーザープロファイル分析により、ユーザーIDを保護します。組織の攻撃対象領域を大幅に削減でき、ユーザーの資格情報を侵害したり、攻撃を進行させたりを困難にさせます。また、攻撃者のキルチェーンなど脅威の予兆とみられるアクティビティを検知します。

セキュリティ一元化が可能なDefender for Cloudとは

Defender for Cloudは、シャドウIT検出と制御、不審なアクセスへの対策ができる包括的なセキュリティソリューションです。このサービスは、Azureだけでなく、オンプレミス環境、さらにはAmazon Web Services（AWS）やGoogle Cloud Platform（GCP）などの他のクラウドプロバイダーのリソースもカバーできる柔軟性を持っています。これにより、ハイブリッドクラウドやマルチクラウド環境でも一元的なセキュリティ管理が可能になります。Defender for Cloudを使用すると、組織で使用されているクラウドアプリケーションの特定をし、そのリスクレベルを評価します。また、従業員が利用しているさまざまなアプリケーションの使用状況を検出し、異常なアクティビティや動作がないかを監視します。

セキュリティ設定が正しいかを判断するクラウドセキュリティ体制管理

クラウドセキュリティポスチャ管理（Cloud Security Posture Management: CSPM）は、クラウド環境における問題の評価や検出、ログへの記録、レポートを自動的に行います。セキュリティ状況の把握や効率的かつ効果的なセキュリティレベルの向上に役立ちます。

リソースを保護するクラウドワークロード保護

クラウドワークロード保護（Cloud Workload Protection: CWP）は、クラウド環境のワークロードを構成するリソースを、その種類や場所を問わずに自動的に保護する技術のことです。

Defender for Cloudの存在意義

Defender for Cloudによってどんなセキュリティ対策ができるのかについて解説します。

継続的な評価によって脆弱性を追跡

適用したベンチマークに従って、クラウド環境を継続的に評価します。これによって、仮想マシン、コンテナ、レジストリなどのリソースの脆弱性を追跡することが可能です。結果の調査や修復もポータル内から実行できます。

セキュリティポリシーによるセキュリティ保護

Defender for Cloudに接続されているクラウド環境やオンプレミス環境全てのリソースとサービスを保護、強化します。Azureで設定されている「セキュリティに関する推奨事項」に従って、リソースやサービスの構成を調整し、コンプライアンスのニーズを満たすことを確認します。

さまざまな組織のニーズに合わせて、セキュリティポリシーをカスタマイズすることもできます。他にも多くのオプションを使用してセキュリティ管理を一元的に行います。

脅威を検出しいち早く対処

強化されたセキュリティを有効にすることでリソースに対する脅威を検出し、いち早く対処します。脅威を検出するとセキュリティアラートとしてAzureポータルに通知されます。また、担当者にメールで通知することもできます。

Microsoft Defender for IdentityとDefender for Cloudの関係性

Defender for IdentityとDefender for Cloudの関係性について解説します。

オンプレミスに拡張が可能

Defender for Cloudでは、脅威のあるユーザーの特定に集中的に取り組めるようにユーザーエンティティ動作分析（User and Entity Behavior Analytics: UEBA）がクラウドにて提供されます。このUEBAをDefender for Identityと統合することによって、クラウドだけでなくオンプレミスに拡張が可能です。そして、Active DirectoryからIDに関するコンテキストが取得できます。

関連するアプリとデータ連携が可能

Defender for Identityでは、個人のユーザーデータやアプリをDefender for Cloudに共有できます。

組織のActive Directory内のユーザーのオブジェクトに加えられた変更は、Defender for Identityにも適用されます。

また、組織のユーザーがActive Directoryから削除されると、Defender for Identityからも自動的に削除されます。

このように、各種サービスが環境をまたがってデータ連携を自動的に行うため、より広い範囲のID管理を実現可能です。

セキュリティ対策が必要で、どのように進めていけば良いか分からない、設定を行いたいなどご相談がある場合は気軽に下記問い合わせフォームよりお問い合わせください。