Microsoft Defender for Office 365はMicrosoft社の標的型攻撃対策ツールとして多くの企業に導入されています。本記事ではより強固なセキュリティ環境が実現できる、JBSの監視・運用サービスを紹介します。サービスの概要や導入のメリットについて詳しく解説しますので、ぜひ検討してください。
Microsoft Defender for Office 365とは
「Microsoft Defender for Office 365(旧称 Office 365 ATP)」は、リアルタイムに更新されるクラウドベースの脅威情報をもとに、Exchange Onlineを守る高度なメールフィルタリングサービスです。組織全体に安全なリンクポリシーを適用し、未知のマルウェアやウイルスから組織を保護します。
Microsoft Defender for Office 365により、メールに添付されたファイルやハイパーリンクの検疫、なりすましメールの検出等が可能です。セキュリティインシデント対応を自動化、さらにユーザーが使っているSIEM製品のワークフローに適用させることで、より効率的にインシデントレスポンスを実行できます。
サービス導入メリット
昨今、オンプレミスだったITインフラにクラウドが加わり、企業のIT部門担当者は日々の運用で多忙を極めています。システムの規模が大きくなるほど監視項目も増加し、毎日数百件のアラートメールが発生する状況はめずらしくありません。アプリケーションや端末は今後も増え続けることが予測され、アラートに手作業で対応していくのは難しいでしょう。
Microsoft Defender for Office 365はこうした問題意識から生まれましたが、運用には専門的なスキルが求められます。長期的かつ最大限サービスを活用するには、JBS(日本ビジネスシステムズ株式会社)の「マネージドセキュリティサービス Microsoft Defender for Office 365」が有用です。
導入コンサルティングから導入後の運用管理までワンストップでサービスを提供し、ユーザーのセキュリティ強化と被害の低減をサポートします。運用管理の流れは「検知・対応」「調査・分析」「再発防止・対策」の3ステップです。
検知・対応
メールによるサイバー攻撃はよくある手法で、検知も難しくありません。しかし、特定企業を標的にした攻撃となると、判別は一気に難しくなります。標的型攻撃の場合、攻撃者はターゲットの組織構造や取引先をあらかじめ調査し、個人のメール内容や文章の特徴を収集、それらを元に業務メールに似せたメールを作成します。迷惑メールのように違和感がないため、攻撃の兆候を察知できずに文中のリンクをクリックしてしまうのです。
こういったリスクを管理するには、早期の検知と初動対応が重要です。「マネージドセキュリティサービス Microsoft Defender for Office 365」は、JBSのアナリストが検知アラートを監視、ビジネスメール詐欺・ドメインやユーザーの偽装・不正ファイル・アカウント侵害による内部からの攻撃メールなど、多種多様な標的型攻撃メールから組織を守ります。
標的型攻撃メールが検知されるとアラートが上がり、JBS内で共有されます。検知された情報はJBSのアナリストにより内容の分析と誤検知の確認を行い、検出内容をユーザーに通報する流れです。
調査・分析
自社でサイバー攻撃の詳細内容を調査するには、大量のログ回収が必要であり、多角的な分析が求められます。調査・分析を担うIT部門担当者の負担は大きく、調査は容易ではありません。企業によっては専門チームを持たない場合もあり、リアクティブな意思決定や行動で終わってしまっているのが現状です。
JBSは高度な分析スキルで、筋道を立てて仮説・検証のプロセスを繰り返し、標的型攻撃メールの痕跡確認やマルウェアの判定を支援してくれます。調査・分析の業務を実務から切り離すことで、IT部門担当者の工数を大幅に軽減できるでしょう。また、ネットワークに関連する数値を可視化することにより、インシデントレスポンスの業務プロセス改善効果、分析ノウハウの共有が期待できます。
再発防止・対策
標準型攻撃メールの手法は次々と変化しており、感染経路だけでなくウイルスに感染した後の行動も高度化しています。解析調査のみ力を入れるのではなく、最新の攻撃事例を反映しながら社員教育を続けることが重要です。
IT部門担当者がセキュリティに関して注意喚起すれば、一時的に人的対応力は高まります。しかし、時間とともに影響力は低下、最新の攻撃事例を反映しながら社員教育を続ける負担は少なくないでしょう。
JBSはメールセキュリティに必要な継続的な監視やポリシーの見直しを定期的に行うため、最新の攻撃にも効果的な対策が可能です。監視や解析の結果を運用プロセス改善やシステム設計に活かし、さらなる再発防止の体制強化を実現します。
サービスメニュー
サポートの流れに続き、「マネージドセキュリティサービス Microsoft Defender for Office 365」のメニューについて解説します。
セキュリティ監視
現場環境のイベントをリアルタイムに監視し、脅威となり得るイベントに対し、継続的な調査を行います。また、高度なセキュリティインシデントを発見し、セキュリティ状況を広範囲に可視化することで、ワークロードを保護します。JBSではスレットハンティング(仮説、調査、発見、改善)のサイクルを通じ、監視の品質を常に向上しています。
システムログの監視や、ログ同士の関係性から標的型サイバー攻撃を見つけ出すには、経験豊富な人材がネットワークを監視し続けなければなりません。運用や分析、初期対応に当たる部分をJBSが代行することで、IT部門担当者の負担を軽減します。本サービスにより、情報漏洩などのリスクを確実に軽減できるでしょう。
インシデント対策支援
セキュリティにおけるインシデントとは、システムの稼働に悪影響を及ぼすようなイベントを指します。具体的には、PC操作を不能にしたり重要データを盗み取る「ウイルス感染」、ネットワークやサーバーに侵入する「不正アクセス」、管理者のアカウントを盗んだり改竄する「なりすまし」、大量のデータ送信で負荷をかけてマルウェアで攻撃する「DoS・DDoS攻撃」などが該当します。
JBSは事前に定めたセキュリティポリシーに基づき、インシデントの制御やエスカレーションを実施、包括的なセキュリティ対策を提供しています。経験豊富なアナリストは、調査で得られる情報をユーザーに合わせて有効に活用するため、柔軟かつ的確な対応が行われるでしょう。
レポーティング(ベーシック)
総評・インシデント対応結果・アラート検知結果を毎月レポートで報告します。また、受信した不審なEメール・不正な添付ファイルなど、Microsoft Defender for Office 365の検知ログに関する情報も併せて提出します。
レポートグラフはデータを視覚的に表現しているため、組織の報告業務に利用可能です。月次レポートとして運用が自動化されるため、IT部門担当者の負担を大幅に軽減できるでしょう。オプションのレポーティング(アドバンスト)は、より詳細な月次レポートを作成、用途に応じてリモートやオンサイトによる報告会も実施します。
ポリシー設定変更(月一定期)
Microsoft Defender for Office 365のセキュリティポリシーに対し、データ検知の閾値変更、設定変更が必要な機能の有効化、または無効化など、月に1度設定変更に対応します。オプションのチケット制を選択すれば、平日日中、随時ポリシーの設定変更が可能です。機能の有効化・無効化・閾値変更に加え、保護対象ユーザーの設定、信頼できる送信者のドメイン追加、ブロックURLの設定にも対応します。
サービスフロー
初期設定から最短10営業日でサービス利用が可能です。サービス申し込み後、ヒアリングシートに必要事項を記入します。ヒアリングシートの内容を基にJBSが初期開通作業を実施、申し込み企業は監視に必要な設定を投入してください。疎通の確認が取れた時点でJBSよりサービス契約書が送付され、監視が開始します。
価格表
サービスの利用料金は、運用段階において1ユーザー当たり100円(初期費用・オプションサービス除く)です。運用段階までの前提条件として、サービスを利用する人数分のライセンス購入と、外部からMicrosoft Defender for Office 365にアクセスする権限、メールボックスの提供が可能であることが挙げられます。また、Exchange Onlineの監査ログが有効化されている、Exchange Online Protectionが展開されている必要があります。その他のメールフィルタリング製品との連携は、サービスの対象外なので注意してください。
まとめ
サイバー攻撃に最も利用されるのは電子メールです。Microsoft 365のセキュリティ強化には、Microsoft Defender for Office 365の導入がおすすめです。JBS社の監視・運用サービスならフィッシングやなりすましメールを的確に見分け防御します。詳しくは、下記URLをご覧ください。