Windows 10のセキュリティ機能のうち、「Credential Guard」と同様に攻撃者やウイルスによる侵入を前提としたもう一つの機能が、「Windows Defender Advanced Threat Protection」(Windows Defender ATP)である。Windows 10公開から1年後の2016年8月にリリースされた大型アップデート「Anniversary Update」で追加された。Enterprise/Educationエディションに加え、Pro/Pro Educationエディションでも利用できる。
Windows Defender ATPは、組織のネットワークに侵入した脅威を検出して、管理者による調査や対処をサポートすることを目的としている。例えば、「これまで利用していなかったポートを開いて通信を始める」といった「平時とは異なる挙動」を検知し知らせることで、ウイルスや攻撃者の侵入などを早期に発見し、被害の拡大を最小限に抑える。
Windows Defender ATPでは、Windows 10に標準で実装された「エンドポイント動作センサー」がパソコンの情報を収集し、クラウドに送信する。クラウド上では集約した情報を分析。分析結果は、Windows Defender ATPのポータルサイトを通じて閲覧できる。
Windows 10の標準機能なので追加のソフトウエアは不要。組織の管理者がActive Directoryでグループポリシーを配布するだけで利用できる。
緊急度を3段階で表示
Windows Defender ATPの機能を詳しく見ていこう。Windows 10のエンドポイント動作センサーは、システムの情報(プロセス、レジストリ、ファイル、通信など)を収集し、クラウドに送信する。クラウド上では、マイクロソフトやパートナー企業の脅威情報データベースなどを参照し、既知の攻撃と照合したり、攻撃の痕跡を分析したりする。