Windows 10のセキュリティ機能のうち、「Credential Guard」と同様に攻撃者やウイルスによる侵入を前提としたもう一つの機能が、「Windows Defender Advanced Threat Protection」(Windows Defender ATP)である。Windows 10公開から1年後の2016年8月にリリースされた大型アップデート「Anniversary Update」で追加された。Enterprise/Educationエディションに加え、Pro/Pro Educationエディションでも利用できる。

 Windows Defender ATPは、組織のネットワークに侵入した脅威を検出して、管理者による調査や対処をサポートすることを目的としている。例えば、「これまで利用していなかったポートを開いて通信を始める」といった「平時とは異なる挙動」を検知し知らせることで、ウイルスや攻撃者の侵入などを早期に発見し、被害の拡大を最小限に抑える。

 Windows Defender ATPでは、Windows 10に標準で実装された「エンドポイント動作センサー」がパソコンの情報を収集し、クラウドに送信する。クラウド上では集約した情報を分析。分析結果は、Windows Defender ATPのポータルサイトを通じて閲覧できる。

 Windows 10の標準機能なので追加のソフトウエアは不要。組織の管理者がActive Directoryでグループポリシーを配布するだけで利用できる。

緊急度を3段階で表示

 Windows Defender ATPの機能を詳しく見ていこう。Windows 10のエンドポイント動作センサーは、システムの情報(プロセス、レジストリ、ファイル、通信など)を収集し、クラウドに送信する。クラウド上では、マイクロソフトやパートナー企業の脅威情報データベースなどを参照し、既知の攻撃と照合したり、攻撃の痕跡を分析したりする。

パソコンの状況をクラウドに集約して異常を検知する
パソコンの状況をクラウドに集約して異常を検知する
Windows 10 Anniversary Updateで追加された新機能Windows Defender Advanced Threat Protection(Windows Defender ATP)の概要。Windows 10が標準で備えるエンドポイント動作センサーが、システムの情報をクラウドに送信。クラウド上では集約した情報を分析し、異常があればポータルサイト経由で通知する。
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。