非公開ユーザー
大学|社内情報システム(企画・計画・調達)|1000人以上|IT管理者
機能は強力だが、日々の監視、詳細な分析に費やす時間がない
EDRで利用
この製品・サービスの良いポイントは何でしょうか?
Office365 A5の契約をしており、利用できる機能は活用しようということで運用をスタートさせました。各アラートに対するprocess tree、Incident Graph、Timeline表示などはグラフィカルで直感的に理解しやすいようにできており、何が、どの範囲まで影響を及ぼしているのか素人にもわかりやすいです。表示されている情報の中で気になる項目をクリックすると、Virus Totalでの評価と署名情報が瞬時にわかるので、危険度の判断もしやすいです。また、Automated Investigationsの機能や、使いこなすまでにはいたれていませんがAdvanced huntingでのクエリ実行は強力だと思います。OSのBuildに依存するところはありますが、調査に必要な通信ポートは維持しつつ、ネットワークからの隔離をワンクリックでできるIsolate machineの機能なども良い機能だと思います。
改善してほしいポイントは何でしょうか?
日本固有の問題として取り上げてもらえない可能性が高いのですが、日立ソリューションの秘文という暗号化製品をユーザーに利用させています。この秘文で暗号化されたファイルは一律「Suspicious executable with double extension」と判定されてしまい、毎日大量のアラートで埋め尽くされてしまう状況です。一件一件アラートをクリアにするしか方法がなく、運用上かなり厳しい状況です。秘文の利用をやめるという選択もありますがなんとかできると嬉しいです。また、Automated Investigationsの実行は管理者の承認があって初めて動く仕組みとなっているのですが、実行待ちの状態にあるアラートを個別に通知する機能が無いことも改善希望ポイントです。(公開APIを駆使すればできるのだろうと思いますが、標準機能であってほしいレベル)他にも中途半端な機械翻訳に翻弄されるよりもマシと前向きに捉えていますが、すべて英語であることと、特段問題が起きている訳ではありませんが、DefenderATPだけデータセンターのロケーションに日本がまだ無い点も改善されると気持ち的に安心できます。
どのようなビジネス課題を解決できましたか?あるいは、どのようなメリットが得られましたか?
機能は非常に強力で素晴らしい製品であるのですが、この製品を使ってセキュリティを最大限に高めるためには、人の手で日々ダッシュボードの状況を監視し、疑わしい動作がある場合は詳細な解析を行う作業が当然必要となってきます。セキュリティ専任担当として、常にこの製品だけに張り付いていられる状況であればまだ良いのですが、当方のような複数のシステムを同時運用している状況の中では、とても片手間で扱えるようなレベルでは無いというのが正直な感想です。実際、ある程度の規模の組織であれば、この分野の監視と運用はアウトソーシングして行うことが多いように思いますが、高額なA5のライセンス費用に上乗せして、さらに費用を捻出する理解を得ることは中々難しく、担当者の業務負荷が青天井で増している状況です。当然の話ですが、これを入れればそれで安心、という類の製品では無いので、運用体制を含め導入を計画する必要があります。
