先日、日本マイクロソフト社の「Microsoft Top Partner Engineer Award」にて、Security を受賞させていただきました。
本受賞式の際にお誘いいただき、アドベントカレンダー企画に参加することになりました。
最近ブログを投稿できておりませんでしたが貴重な機会ですので、感謝の気持ちを込めて、受賞しました「Securiy」に関連する記事を投稿したいと思います。
背景
近年、お客さまより、「セキュリティを向上させたいので PC の設定を見直したい」という意見をよく伺います。特に最近は Windows 11 の展開に合わせて検討したいお客さまが増えたと思います。
たしかに「セキュリティを向上させたい」だけでは、どの設定を見直せばいいのか迷いますよね。
そんなときにお勧めの機能をご紹介します。
Microsoft Defender for Endpoint (以下 MDfE)の「脆弱性の管理」という機能です。
端末を MDfE にオンボード(登録)すると、端末の情報を取得し、CVE で公開されている脆弱性情報に関連する設定やマイクロソフト社が推奨する設定の有無が確認できます。また、脆弱性に関する設定がされていない場合には修復方法まで案内してくれる機能です。
もっと簡単にいえば、「この設定はセキュリティが脆弱ですね、設定を変更したほうがいいですよ」と推奨してくれるアドバイザリー機能です。
内容によっては、業務で利用する設定のため変更できないという設定もあるかもしれませんが、汎用的にセキュリティを向上可能な設定を案内してくれるので、冒頭で述べた要件ではとても参考になるものだと思います。ぜひご覧ください。
実施前に
前提条件として MDfE にオンボードされていることが必要です。本記事では MDfE にオンボードされている状態で説明します。
また、対象オペレーティングシステムは Windows だけではなく、macOS、Linux OS、Android、iOS も対象です。
詳細は以下 URL を参照ください。
では早速確認していきましょう。
ダッシュボードを確認
MDfE 管理者ポータル(以下 URL)に管理者権限をもつユーザーでログインします。
https://security.microsoft.com/
エンドポイント > 脆弱性の管理 の順に展開して [ダッシュボード] をクリックします。
ダッシュボードには脆弱性のスコア、推奨事項、脆弱性が多いソフトウェアやデバイスが表示されます。
推奨事項を確認する1
「セキュリティに関する推奨事項」を見てみたいと思います。
ダッシュボードから [その他を表示] をクリックします。
MDfE にオンボードされている端末で確認されている脆弱性に関する推奨事項が表示されます。
ソフトウェアの更新や設定の変更など様々な推奨事項が表示されています。
サンプルとしてソフトウェアの更新について確認してみます。
7-zip のバージョンが古い端末があるので更新しましょうという内容が表示されます。
[関連付けられている CVE] タブを見ると CVE-2022-29072、CVE-2023-40481 に関連していることが分かります。
更に [該当の CVE 名] をクリックすると詳細を確認することも可能です。
説明には、攻撃者が任意のコードをリモート実行できる可能性があると記載されています。
ここまで確認すると、すぐにソフトウェアのバージョンアップが必要と分かります。
どのデバイスが古い 7zip をインストールしているかを [インストールされているデバイス] タブから確認して、アプリケーションのアップデートを行うことになるかと思います。
推奨事項を確認する2
もう1つサンプルとして PC 設定に関する推奨項目を確認したいと思います。
[Disable SMBv1 client drvier] という推奨項目を開きました。
SMBv1 は多くの人が認識していると思いますが、WannaCry が世間で騒がれた際に無効にせねばと有名になりましたね。多くのマルウェアなどの攻撃ツールで SMBv1 が非常に多く利用されております。そのため、SMBv1 は明示的に無効にすることが強く推奨されてます。
[修復オプション] タブをクリックすると、GPO、MEM(Intune)、レジストリで無効にする方法が表示されます。
パスまで記載されているのは嬉しいですね。
修復タスクを登録する
対象の推奨事項を修復する場合には [修復の要求] をクリックします。
修復オプションを確認後に、期限や優先度をつけることができます。
作成後に MDfE 管理者ポータルから 脆弱性の管理 > 修復 の順にクリックすると作成した項目が表示されます。
管理者はこの画面で脆弱性情報をタスクとして登録し、進捗管理が可能です。
以上です。
最後に
セキュリティ推奨事項から脆弱性の情報、対象のデバイス、修復方法の確認、タスクの登録まで確認できました。
私の検証環境でも 80個近い推奨事項が表示されています。
すべての推奨事項を確認するのは時間が掛かると思いますが、気になるものだけでも対応することで確実に端末のセキュリティを向上させられると思います!
また、この脆弱性管理はアドオンを追加することで、ブラウザ拡張機能の評価や証明書の評価もできるようになります。
更にセキュリティを向上させたい人はぜひお試しください。
山口 翔平(日本ビジネスシステムズ株式会社)
Microsoft 365を中心としたゼロトラストやセキュリティ分野のシステムアーキテクトやプロジェクトマネジメントをしている。趣味はバイク、猫、お酒。
担当記事一覧