MicrosoftとRiskIQを統合した2つのセキュリティサービスを発表

Microsoft社は、

  • Defender Threat Intelligence
  • Defender External Attack Surface Management(Defender EASM)

という2つのセキュリティサービスの新製品を発表しました。

この2つのセキュリティサービスは、2021年7月に当時のレートで約550億円(5億ドル)でMicrosoftが買収したセキュリティ企業「RiskIQ」のテクノロジーが統合・活用されています。
一見すると、Microsoftが提供するクラウドサービス「Microsoft Azure」に含まれるサービスと被る部分があるように感じます。
しかし、Microsoftによると、今回の2つのセキュリティサービスは、RiskIQのテクノロジーをベースとした事で従来にない驚きのインテリジェンスサービスの提供を実現する事に成功し、ユーザーはMicrosoftのセキュリティシグナルから「リアルタイムデータに直接アクセス」する事が可能となりました。

Microsoftが受信している43兆件のセキュリティシグナルの受信だけではなく、

RiskIQ
国家支援型サイバー攻撃を追跡するMicrosoftのチーム
Microsoft Threat Intelligence Center(MSTIC「ミスティック」)
Microsoft 365 Defender

といった複数のセキュリティリサーチチーム間で統合されたインテリジェンスを利用することも同時に発表されました。

MicrosoftのモダンプロテクションやSOC部門コーポレートバイスプレジデントを務めるRob Lefferts氏は、
「SOCをMicrosoftのMSTICの研究者たちとつなげる」
というのが今回のインテリジェンスサービスの目的だと米ZDNetに語ったようです。

また、Defender EASMは、
「ユーザーが攻撃者と同じように世界全体を見られるようにすること」
が目的だと明言し、ユーザーがパブリックインターネットで「何を公開しているのか」「それがどのような影響を与えるのか」といった点を理解出来るように支援するとも語っています。

一般的に攻撃者は、脆弱性が一般公開されてから「15分以内」にインターネットをスキャンして公開されている脆弱なデバイスの割り出しを行います。
その作業と同時に「ProxyLogon」と「ProxyShell」を始めとした古い脆弱性を探すためのインターネットスキャンも行っていると言われています。
上記の攻撃からユーザーを守るといった点では、Defender EASMはかなり有益な製品だと考えられます。