ラックの「マネージドEDRサービス」は、Windows 10パソコンがマルウエア感染などのセキュリティ被害にあった際に、ユーザー企業に成り代わってセキュリティ被害を検知して対応する、常時監視サービスである。Windows 10の企業向けボリュームライセンス「Windows 10 Enterprise E5」を使っている企業が対象となる。

マネージドEDRサービスの概要
(出所:ラック)
[画像のクリックで拡大表示]

 Windowsパソコンのログやアラートを、24時間365日体制で監視する。さらに、問題を検知したWindowsパソコンをリモート操作によって社内LANから切り離す。発生したアラートの影響範囲や、時間の経過によって侵害が拡大する可能性についても調べて報告する。オプションの「サイバー119サービス」を組み合わせると、セキュリティ被害からの復旧や対応も支援する。

 セキュリティ被害を受けているかどうかを判断する材料として、Windows 10 Enterprise E5が備えるクラウド型のEDR(エンドポイント検出/対応)機能「Windows Defender ATP」を使う。OSに組み込まれたエージェント機能が、1日あたり数Mバイトのログやアラートをクラウドに転送する仕組み。ユーザーやプロセスの挙動から、脅威を検出できる。

 ラックのセキュリティオペレーションセンターであるJSOCが、Windows Defender ATPのクラウド管理画面にアクセスし、Windows Defender ATPのエージェントから収集したログやアラートを監視して分析する。マルウエアの感染が疑われるパソコンについては、ネットワークから隔離する。エージェントがクラウドにアクセスした時に隔離指示があった場合は、エージェント自身がアクセス制御ルールを設定してクラウド以外との通信を遮断する仕組み。

 監視サービスの背景には、マルウエア対策でエンドポイント向けのセキュリティが手薄となっているという状況がある。エンドポイント向けにマルウエア対策ソフトとEDRソフトを組み合わせるとコストがかさむので、Windows OSに組み込まれた機能を活用してマネージドサービスをメニュー化している。

マネージドEDRサービスの概要
用途と機能Windows 10パソコンがマルウエア感染などのセキュリティ被害にあった際に、ユーザー企業に成り代わってセキュリティ被害を検知して対応する、常時監視サービス
対象企業Windows 10の企業向けボリュームライセンス「Windows 10 Enterprise E5」を使っている企業
サービスの
内容
■Windowsパソコンのログやアラートを、24時間365日体制で監視する
■問題を検知したWindowsパソコンを、リモート操作によって社内LANから切り離す
■発生したアラートの影響範囲や、時間の経過によって侵害が拡大する可能性について調べて報告する
利用する
EDRソフト
セキュリティ被害を受けているかどうかを判断する材料として、Windows 10 Enterprise E5が備えるクラウド型のEDR機能「Windows Defender ATP」を使う。OSに組み込まれたエージェント機能が、1日あたり数Mバイトのログやアラートをクラウドに転送する。ユーザーやプロセスの挙動から、脅威を検出できる
価格(税別)■対象となるWindows 10パソコンが3000台のモデルケースの場合、月額180万円(パソコン1台あたり月額600円相当)で、最低契約期間は12カ月。初期費用は個別見積もり。
■前提となるWindows 10 Enterprise E5の価格は、1ユーザーあたり月額1400円程度
発表日2017年12月14日
提供開始日2018年1月