マイクロソフトが社内ブログで自社がウィルスに感染した実態を報告

マイクロソフトが社内ブログで自社がウィルスに感染した実態を報告

○マイクロソフトが社内ブログで自社がウィルスに感染した実態を報告し反響を呼んでいる
○2015年下半期、約200万件のウイルスを検出、41件の感染を確認したとのこと
○あのマイクロソフトですらこんなに被害を受けるとはと反響を呼んでいる

【マイクロソフトのマルウェア感染状況】

★マイクロソフト社内 IT 環境
社内ネットワークに接続するすべてのデバイスは、リアルタイム監視が動作しているマルウェア対策ソフト※1 (ウイルス対策ソフト) が、
6 日以内の定義ファイルを持っている最新のソフトウェア バージョンで稼働している必要があります。

※1「 Windows Defender か、System Center Endpoint Protection 2012 (SCEP)」
※2015 年下半期 (7 月から 12 月) では、月の平均 98% のデバイスがこのポリシーに準拠

その上で2015 年下半期 (7 月から 12 月) で既知の200万件のマルウェアが検知されブロックされたという。 しかしこれをすり抜けた新種のマルウェアが41種あったという。

このようにすり抜けるマルウェアについてはマルウェア対策ソフトのリアルタイム保護などで「怪しい動作」としてブロックされるか
Windows Defender Advanced Threat Protection のような侵入検知システムなどで脅威をブロックしているとのこと。

【マルウェア対策だけに偏らない多層防御】

これを読むとマルウェア対策ソフトはあまり意味がないのではないかという議論が度々起こるがこの報告をしている マイクロソフト自身も「そんなことは決してありません。マルウェア対策ソフトは、デバイスへの侵入を防ぐ最初の砦として大きな役割を果たしています。」 と力強く語っている。今回の事例でも200万件を防げていることを考えればいかに効果的かわかることだろう。

その上で、マルウェア対策ソフトをすり抜けた場合の対策を改めて施す必要がある(これを多層防御という)。

【以下はマイクロソフトが実施している多層防御】

○マルウェア対策ソフトを実行する
○ソフトウエアの最新版へのバージョンアップをかかさない
○マイクロソフト製品、非マイクロソフト製品すべて最新の状態にする
○Active Directory でユーザー、デバイスを一元管理、グループ ポリシー、
Intune を利用して、更新プログラムの適用、ファイアウォール及び SmartScreenの セキュリティ機能を有効化
○侵入検出システムを利用する
※マイクロソフトではWindows Defender Advanced Threat Protection (Windows 10)
○攻撃の可能性となりうる技術の利用 (Java, Flash など) の必要性を検討し、利用を最小限にする
○Peer-to-Peer (P2P) ソフトやそのほかの好ましくないソフトウェアのインストールを禁止
○脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit (EMET)) を適用
○強力なパスワード ポリシーを実装に加え、多要素認証、スマートカードによる認証も必要に応じて実装し、資格情報の保護を行う
○Windows Management Framework 5.0 で PowerShell v 5 のセキュリティ機能を有効にする

【単に「ゼロ」を目指さないセキュリティ対策】

マイクロソフトいわく、マルウェア対策ソフトの検知率を100%にする、やマルウェアが添付されているメールの開封率をゼロにする 事は最初から考えていないという。常に2%程度のすり抜けがあると考えそれらを多層防御という考え方で防ぐのがコストや現実的な 運用から考えても大切だという。

攻撃者が目的としている機密情報の搾取や金銭を得ることを砕くためにセキュリティ侵害による情報漏えいを可能な限り防ぎ、
また、実際に侵害にあった際には被害を最小限にすることを目指す、と言い切ります。

このためには、マルウェア対策がどの程度効果をなしているのか、基本的な対策をきちんと行うこと、 必要な侵入を前提とした対策を計画することが重要です。
マイクロソフトでは、マルウェア対策だけに絞ったり、それぞれの対策に画一的な数値目標をもつのではなく、 全体的な運用と対策を俯瞰して現実的な目標を見定め、分析をし、定期的に見直しを図ることで、 対策をすることが重要だと述べています。

詳細;マイクロソフト ブログ「 日本のセキュリティチーム(Japan Security Team)」
<