CSFの識別、防御、検知、対応、復旧のフェーズでソリューションを分解
ここからはCSFのフェーズごとに、マイクロソフトのどの製品が働いているかを見ていく。ここから数多くの製品名が登場するが、山野氏は「Azure Sentinel以外はMicrosoft 365が提供するソリューション」と補足した。
CSFの識別は主に事前の登録となる。ユーザーの登録はAzure AD、デバイスの登録はMDMとなるMicrosoft Intune、データの機密性の識別と保護はAzure Information Protection、企業が利用を許可するアプリケーションの登録はCASBとなるMicrosoft Cloud App Securityを使う。誰がどのようなデバイスを用いて、どのデータにアクセスできて、どんなクラウドサービスを利用していいかを登録しておくということだ。
続いてCSFの防御。IDの防御はAzure ADに組み込まれているIdentity Protection、デバイスの防御はMicrosoft Defender ATPなどを使う。データとアプリケーションはOffice 365 ATPに加え、識別で挙げたもので監視や制御しながら防御する。
こうしてID、デバイス、データ、アプリケーションのそれぞれにおいて該当する製品が監視し、不審な動きや攻撃を検出したらアラートをMicrosoft Threat Protectionに送る。Microsoft Threat Protectionは届いたアラートから、一連のインシデントとしてまとめる。これを可能としているのがMicrosoft インテリジェント セキュリティ グラフだ。世界中から収集された膨大なセキュリティデータを機械学習などで分析し、脅威を検出しやすくする。
ここまではゼロトラストをベースとした識別、防御、検知であり、インシデントを検知したところまでとなる。インシデント発生後はMicrosoft Threat Protectionが中心となり、対応と復旧を行う。Microsoft Threat ProtectionはSOC(Security Operation Center)のような働きをする。
山野氏は「インシデント発生後の封じ込め(対応)はスピードが重要です。封じ込めまでの時間は被害の大きさと密接に関わるからです。Microsoft Threat ProtectionはAIを活用して封じ込めのプロセスを自動化することが可能です」と話す。例えば攻撃を検知したら、攻撃に使われているIDをブロックするなどだ。侵害を最小限にするには早めの対応が重要になる。
然るべき対応を行い、安全性が確認できたら、復旧のフェーズへと移る。先の例ならIDのブロックを解除するなどだ。加えて原因調査や再発防止策も検討していく必要がある。原因調査として各種ログの分析を行うなら、SIEMとして機能するのがAzure Sentinelとなる。また再発防止策にはポリシーの見直しを行い、各製品の設定に反映していく。
あらためて全体を見渡すと、マイクロソフトはゼロトラストをもとにしたアクセス制御基盤を構築し、かつインシデント発生後はMicrosoft Threat ProtectionでSOCを実現している。これら2つを組み合わせ、CSFの一連のフェーズを網羅している。
