2020年1月にWindows7がサポート終了を迎え、Windows10/Windows11への移行が進んできました。
しかし、
・社内に導入しているWindows10/Windows11のセキュリティに不安がある
・しかし、何をどこまでどうしたらいいか分からない
といった悩みを抱えている企業も多いことでしょう。
日々進化しているウイルス(マルウェア)
経営層が適切なセキュリティ対策を講じていても、社員のデバイス(PCやスマホなど)が感染することで他の社内PCへの感染リスクが発生し、これが原因で情報漏洩などの深刻なセキュリティ事故が引き起こることがあります。
情報漏洩による損害賠償や信用の失墜、取引先の撤退など、セキュリティ事故の影響は予想以上に大きなものとなります。
この記事では前編と後編に分けて、セキュリティを構築していく手法をご紹介していきます。
前編のテーマは、”Windows10/Windows11の標準セキュリティ機能の性能と問題について”です。
【1】Windows10/Windows11のセキュリティ機能である「Microsoft Defender(旧Windows Defender)」と、その性能
Windows10/Windows11に標準搭載されている「Microsoft Defender」について、以下2つに分けて解説します。
・Microsoft Defenderとはそもそも何か
・Microsoft Defenderのウイルス検知能力
Microsoft Defender(旧Windows Defender)とはWindows10/Windows11搭載のセキュリティ機能
「Microsoft Defender」は、Windows10/Windows11に標準搭載されているセキュリティ機能です。ウイルスなどの攻撃から、パソコンを保護します。
Microsoft Defenderが持つ機能は、大きく分けて以下の7つ。
ーーーーーーーーーー
1.ウイルスと脅威の防止:ウイルスを検知、駆除
2.アカウントの保護:パスワードでパソコンを保護
3.ファイアウォールとネットワーク保護:不正な通信を阻止
4.アプリとブラウザーの制御:不正なプログラムの実行を阻止
5.デバイス セキュリティ:プログラム実行をシステムと切り離し、デバイスを保護
6.デバイスのパフォーマンスと正常性:デバイスの状態を確認
7.ファミリー オプション:子供の利用を制限
ーーーーーーーーーー
たとえば「ウイルスと脅威の防止」ではパソコンを監視し、脅威を検出する仕組みがあります。また「アプリとブラウザーの制御」では、悪意のあるサイトやファイルから守る設定も可能です。
つまり、基本的なセキュリティ機能に限れば、市販のセキュリティソフトに近い機能を備えてるといえます。
それではMicrosoft Defenderがあれば、他のセキュリティソフトを使用しなくても安全なのでしょうか?
そこでMicrosoft Defenderのウイルスを見つけ出す「検知能力」について、確認してみます。
オンアクセススキャンとオンデマンドスキャンの違いとMicrosoft Defenderのウイルス検知能力について
Microsoft Defenderの検知能力を測るために、セキュリティソフトの性能評価テストを行っているAV-Comparatives(製品の性能評価テストと格付け認定を行っており、主要なセキュリティソフトのメーカーも結果に注目している)のレポートで、Microsoft Defenderの結果を確認してみます。
(レポートされているテストは、2019年8月30日までに収集し、重複を排除した10,556個のマルウェアサンプルを用いて行われたものです)
(1)Microsoft Defenderのオンアクセススキャンの保護率について
出典:AV-Comparatives “Malware Protection Test September 2019”
まずオンアクセススキャンの保護率について、見ていきます。このオンアクセススキャンとは、ファイルの保存やデータ書き込みのタイミングで、リアルタイムにスキャンを行う機能です。
オンアクセススキャンの結果を確認すると、Microsoft Defenderの保護率は99.96%。
防ぐことのできなかったマルウェアは、10,556件中4件でした。
保護率は一番低いウイルスソフトでも、99.82%です。オンアクセススキャンに関しては、どのセキュリティソフトでも大きな差はありません。
(2)Microsoft Defenderのオンデマンドスキャンの検出率について
出典:AV-Comparatives “Malware Protection Test September 2019”
次にオンデマンドスキャンの結果を見ていきます。オンデマンドスキャンは、スケジュールや手動でパソコン内にあるファイルのスキャンを行う機能です。Microsoft Defenderの検出率は、インターネットに接続していないオフライン状態で29.7%、オンライン状態で76.3%という結果になりました。
(3)新種・亜種のウイルスへの対応について
次に新種や亜種のウイルスに対応できるのか、見ていきます。
Microsoft Defenderは、パターンファイル(ウイルスかどうか判定するために、過去のウイルスの特徴をまとめたデータ・ファイル)を使用してウイルス検知を行います。
ウイルス検知で使用するパターンファイルは、既に発見されたウイルスを分析して作られます。そのため作られたばかりの新種や亜種のウイルスは、パターンファイルに載っていません。
つまりMicrosoft Defenderでは、パターンファイルが更新される前の新種や亜種のウイルスを検知するのは難しいということです。
次に、ウイルス以外のセキュリティ的な脅威である「脆弱性」への対策能力をご紹介します。
Microsoft Defender(旧Windows Defender)による脆弱性の通知について
まず「脆弱性」とはいわばOSやソフトウェアの弱点です。その脆弱性をついた攻撃により、重大なセキュリティ事故につながる可能性があるため、軽視することはできません。
そこでMicrosoft Defenderには、Windows10 バージョン1709以降、脆弱性を悪用した攻撃を緩和するExploit Protectionが実装されました。
Microsoft Defenderによる脆弱性対策機能「Exploit Protection」は必要か
Exploit Protectionによって、脆弱性を悪用した攻撃でよく見られる動きを検知・ブロックします。
脆弱性の発見から更新プログラム提供までに攻撃する「ゼロデイ攻撃」でも、よくあるパターンであれば検知できるということです。ただ、あくまで攻撃パターンによる検知のため、新しい手法の攻撃を防ぎきるのは難しいことにはご注意ください。
脆弱性を悪用した攻撃をブロックした場合は、イベントログのみで確認できるが、判断は困難
イベントログでブロックした例
またMicrosoft Defenderは、「脆弱性を悪用した攻撃」をブロックした記録を、OSのイベントログに出力します。
ただ、攻撃でないものがブロックされ、ログに出力されることもあります。そのためログの内容を見て、脆弱性を悪用した攻撃をブロックしたログか判断するのは簡単ではありません。
Microsoft Defenderでブロックの記録は確認できますが、脆弱性を通知する機能はないのです。
【2】Windows10/Windows11ではウイルス対策強化が必要。しかしセキュリティソフトで防げない「脆弱性」対策はどうするのか?
前編・後編に分けて、セキュリティを構築していく手法をご紹介する本記事。
前編では、Windows10/Windows11標準のセキュリティ機能「Microsoft Defender」の性能を確認しました。
Microsoft Defenderだけでは、セキュリティに対する不安が拭いきれない可能性もあります。
特に危険なのが、セキュリティソフトを入れて、ウイルス対策強化しただけでは防げない問題である「脆弱性」です。
そこで後編では、
・脆弱性とは一体なにか?
・脆弱性対策として何をすれば良いのか?
・複数のパソコンを脆弱性対策する際の管理方法は?
など、「全デバイスを常に最新で、安全性の高い状態に保つ方法」について解説します。後編もぜひご覧ください。
