複数のレイヤーにわたって統合検知が可能なXDR「Microsoft Sentinel」

オンプレミスやクラウドといった単一のプラットフォームだけでなく複数基盤を組み合わせたハイブリッドクラウドの利用など、企業のプラットフォームの選択肢が増えている。それに伴い、機器の保護管理の必要性も高まっており、その管理領域も増大している。そうした課題に対し、脅威を自動でレベル分けして検知を効率化できるのが「Microsoft Sentinel」だ。昨今のセキュリティ課題を踏まえ、脅威検知をなるべく自動化するソリューションを提案しよう。

　働き方や勤務環境が柔軟になった分、セキュリティにも十分な対策が求められるようになった。昨今のセキュリティ対策では、従業員の持つエンドポイント端末を保護する「Endpoint Detection and Response」（EDR）のソリューションを検討する傾向にある。日本マイクロソフト パートナー事業本部 シニア クラウド ソリューション アーキテクトの田住一茂氏は、昨今のセキュリティ対策に見られる問題点をこう指摘する。「多くのマルウェア攻撃はメールを介して行われていて、受信メールの添付ファイルを開いたりURLをクリックしたりすることでマルウェアが侵入します。企業のセキュリティ対策ではEDRが使われがちですが、端末の動作ログを収集して分析し、異常な動きを検知するなど侵入後に感染防御を図るEDRだけでは、マルウェアが内部のシステムへとすり抜ける可能性も高いのです。当社では、ネットワーク、クラウド、エンドポイント、アプリケーションからの情報を統合して、脅威の検出、調査などを迅速化・自動化する『Extended Detection and Response』（XDR）に対応するセキュリティソリューション『Microsoft Sentinel』を提供しています。これにより、迅速で一元的なセキュリティ対策を支援します」

　今後必要となるセキュリティの要件を踏まえ、田住氏は同製品の特長をこう続ける。「ネットワーク機器やアプリケーションのログを一元的に蓄積・管理し、脅威をいち早く検知・分析するソリューションとして、『Security Information and Event Management』（SIEM）があります。当社のMicrosoft Sentinelは、クラウドネイティブなSIEMソリューションです。お客さまのシステムで発生するさまざまなセキュリティインシデントやイベントを統合的に管理します。また、組織内のセキュリティ機器や外部サービスから検出された脅威情報への対処を自動化する仕組み『Security Orchestration, Automation and Response』（SOAR）などで、効率的にセキュリティインシデントに対処していきます。ネットワーク機器から上がってくるアラートだけでなくユーザー側の端末の振る舞い検知にも対応しています。複数のネットワーク機器などからログを集約し、ユーザー一人ひとりの振る舞いから通常とは異なる逸脱した挙動を検出してアラートを通知する『User and Entity Behavior Analytics』（UEBA）なども利用できます。競合他社のSIEMソリューションではこういった機能をオプションで提供しているケースが多いのですが、Microsoft Sentinelは全て標準で提供しています」

　膨大なマルウェアから保護する際の業務改善を考える場合、Microsoft Sentinelではどのような効果が見込めるのか。「日々進化する脅威に迅速に対処していくには、機械学習、AI技術を活用することによって自動で対処するアラートを減らすことが重要です。Microsoft Sentinelでは、機械学習も含めた複数の検知ルールによってセキュリティインシデントのレベルを可視化し、対処の重要度を『高』として抽出し、高度な攻撃をスピーディーに防げます。インシデントへの対処の作業を最小限に抑えられるのです」（田住氏）

　マイクロソフト独自の検知機能も搭載している。それが、さまざまなデバイス、サービスから1日24兆のセキュリティシグナルを分析・検知している「Microsoft Intelligent Security Graph」だ。Microsoft Sentinelでは、Microsoft Intelligent Security Graphで取得した膨大な数のセキュリティシグナルを分析した知見をセキュリティ検知に活用できる。クラウドネイティブに設計されたMicrosoft Sentinelは、導入した時の仮想マシンのボリュームの規模に依存せずスムーズに拡張可能だ。コストもログの利用量に合わせた従量課金制なので、環境構築費用がかからない。Azure製品ならではの、他社製品と比較した際の強みも持っているのだ。

　Microsoft Sentinelは、Microsoft 365（M365）で提供しているセキュリティの標準機能「Microsoft 365 Defender」と併用することで相乗効果が期待できるという。「AI技術を活用して企業のセキュリティシステムを作り込むことができるのが、Microsoft Sentinelです。それとは別に、M365のMicrosoft 365 Defenderも役立つ機能を備えています。その一つが、『自動修復機能』です。PCに侵入され管理者権限を乗っ取ろうとするような攻撃が発生しても、EDR機能で検知し、自動修復が可能です。Microsoft 365 Defenderで可視化できるのはM365の中のみですが、Microsoft Sentinelはそれ以外のネットワークのアラートも取り込めますので、併用することでより高度な対策に役立てられるでしょう」（田住氏）

　また、今後のアップデートについて、同社 セキュリティビジネス本部 プロダクトマーケティングマネージャーの芦田涼太朗氏は「AI分析では、複数の低アラートを自動的に相関分析し、危険度の高いアラートを分析する機能『Fusion ルール』を活用しています。こういった新たな未知の脅威を見つけるための機能も、アップデートによって精度向上を進めていきます。Microsoft Sentinelのログの保管期間は標準で2年ですが、2年以上長く持ちたいという声も届いています。こうしたリクエストに対し、今後は最大7年までのバックアップ（現在はプレビュー中）で対応します」と展望を語った。