1. 本文書について
「サービス仕様書」(以下「本文書」といいます)の目的および用語の定義について記述します。
1.1 本書の目的
本文書は、株式会社クラウドネイティブ(以下「当社」といいます)がお客様に対して提供する、EDR運用最適化サービス(以下「本サービス」といいます)のサービス内容を定めたものです。
1.2 本書の変更
当社は、本文書を随時変更できるものとします。変更の際は、改訂内容を当社Webサイトに掲載を以て、お客様に周知します。変更後の本文書の効力は、当社が別途定める場合を除いて、当社から契約者様に提供または当社のWebサイトに変更後の本文書を掲載後20日経過した日から有効になるものとします。サービス仕様の重大な変更がある場合は、別途お客様への個別説明を実施する場合があります。
契約者様は、本サービスを利用する際、当社から提供または当社のWebサイトに掲載されている最新の本文書をご確認いただくものとします。ご契約者様が、本文書の変更の効力が生じた後に本サービスを利用した場合には、本文書変更後のすべての記載内容に同意したものとみなされます。
1.3 用語・略語の定義
| 用語・略語 | 説明 |
|---|---|
| 本サービス | 株式会社クラウドネイティブが提供するEDR運用最適化サービス |
| 当社 | 株式会社クラウドネイティブ |
| 契約者様 | 本サービスの提供を受けるために当社と契約を締結する企業もしくは団体またはその管理者を指す。本サービスにより通知されるアラート情報の閲覧および重要アラートに関する通知を受信する管理者を指す。 |
| 利用者 | 本サービスを直接的・間接的問わず、利用する、法人の役職員または個人 |
| 営業日 | 土曜日、日曜日、国民の祝日に関する法律に定める休日、および当社所定の休日を除く日 |
| 本書 | EDR運用最適化サービスの仕様書のこと |
| サービスエンジン | Microsoft Defender for Endpointのこと |
| Microsoft Defender for Endpoint | 米国Microsoft社が提供する、Windows、macOS、Linux、Android、iOS、IoTデバイス全体のサイバー攻撃を防ぐ可視性、サイバー攻撃に対する保護、EDR機能を提供するクラウドネイティブ エンドポイント セキュリティ プラットフォームです。 |
| 重大アラート、 重大インシデント | Microsoft Defender for Endpointが生成するアラートのうち、製品のデフォルト機能で「重大」と識別されるアラート、またはインシデント |
| 重大以外のアラート、 重大以外のインシデント | Microsoft Defender for Endpointが生成するアラートのうち、製品のデフォルト機能で重大ではないと識別されるアラート、またはインシデント。および、カスタム設定にて登録されたアラート、またはインシデント |
| 当社サービス窓口 | お客様管理のSlackチャンネルと当社管理のSlackチャンネルを接続したSlackチャンネル |
| 集中適正化期間 | サービス利用開始後、最低3ヶ月の期間において、平日日中帯にすべての重要度のアラートについて調査対応を実施し、誤検知の排除やチューニングを積極的に行う期間 |
| プレイブック | 重大アラート発生時の初動として実施すべき処置内容(情報採取、ネットワーク隔離等)およびお客様承認の要否を定めた手順書 |
| 月次レポート | 前月20日から当月19日までに発生したアラートの傾向とその内容を掲載した報告書 |
| 重大インシデント | Microsoft Defender for Endpointが生成するインシデントのうち、製品のデフォルト機能で重要度が「高」と識別されるインシデント |
2. 本サービスの概要
2.1 EDR運用最適化サービス とは
本サービスは、契約者様が管理する米国Microsoft社のセキュリティ製品「Microsoft Defender for Endpoint」(以下、「MDE」といいます)を利用したサービスです。MDEは、お客様の端末(PC)のログインユーザーへのライセンス割り当てや、同製品のエージェントをインストールすることで、従来のウイルス対策ソフトと同じように既知の脅威をブロックすることに加え、端末内の挙動を24時間365日監視します。脅威を検知した際には対応(「検知」「通知」「分析」「プロセス停止・隔離」「修復」)を自動・半自動、または手動で行います。
本サービスの主な実施内容は以下の4点です。
- アラート確認・レポート: 重要度を問わず、EDRが検出したアラートの内容を確認し、見解を示します。アラートの傾向と発生した内容の見解をまとめた月次レポートを作成します。
- 誤検知判定・チューニング方針提案: EDRが検出したアラートの過検知の排除を提案し、誤検知と判定されたアラートについてチューニング方針をご提案します。お客様の指示に基づいてチューニングを実施します。
- システム運用アドバイス: アラート発生傾向に基づくシステム運用に関する改善提案、運用・構成に関するアドバイスを提供します。
- 重大アラート発生時の初動プレイブック作成・実施: 重大アラート、重大インシデント発生時においては、発生通知を契約者様に送信し、事前に定めたプレイブックに基づく初動対応を実施します。
お客様が被害状況等について、フォレンジックなどのより詳細な調査をご希望の際には、当社がお客様の依頼に応じてフォレンジック専門会社に取り次ぎます。
2.2 サービスエンジンの特徴
Microsoft Defender for Endpointは、エンタープライズネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計されたエンタープライズエンドポイントセキュリティプラットフォームです。主な機能としては、脅威と脆弱性の管理、攻撃面の縮小、調査と修復の自動化、エンドポイントでの検出と対応などが上げられます。Microsoft Defender for Endpointは、Windows10/11に組み込まれています。その他のプラットフォームではエージェントを導入することで動作します。これらのセンサーはオペレーティングシステムからの動作シグナルを収集して処理し、プライベートで分離されたMicrosoft Defender for Endpointのクラウドインスタンスにこのセンサーデータを送信します。これらのデーターは、AIやMicrosoftハンター、セキュリティチームによって生成された脅威インテリジェンスによって分析され、攻撃者のツール、手法、手順を特定し、収集されたセンサーデータで観察されたときにアラートを生成します。
本サービスでは、Microsoft Defender for Endpoint plan 2(以下、plan 2)の利用を前提とします。plan 2は、Microsoft 365 E5 / A5に含まれています。
本サービスでは、Microsoft Defender for Endpoint plan 1、およびMicrosoft Defender for Businessは対象としておりません。
3. サービスご利用の流れ(概要)
サービスのご利用の流れについて、概要を以下に示します。
3-1. ご利用開始までの流れ
本サービスのお申し込みからご利用開始までの流れを以下に示します。
(1) 初回ヒアリング・初期費用お見積り
- 当社営業にコンタクトいただいた後、当社エンジニアを交えて利用OSや台数、現在の運用状況やテナントの状況、アラートの通知方法などをヒアリングさせていただきます。本サービス利用開始までに必要な工程を確認させていただき、初期費用をお見積りいたします。
- お客様連絡先への通知手法は、メールを基本とします。ご契約者様、利用者様のご要望に基づいて、SlackやTeamsへの通知を追加できます。
- それ以外の通知方法を希望される場合は、別途ご相談となります。
- 重大アラート検知時の連絡先やご担当者様情報などのご準備を頂きます。
(2) テナント開設
- お客様環境でMicrosoft Defender for Endpoint、および付随するサービスの利用がない場合、テナントの開設、および付随するサービスの開設を実施いただきます。ご要望に応じて、当社導入支援サービス・運用支援サービスに基づいてサポートさせていただきます。
- 既にMicrosoft Defender for Endpoint、および付随するサービスをご利用の場合は、本項は実施いたしません。
(3) テナント設定の確認と調整
- 当社サービスをご利用頂くにあたって、必要となるテナントの設定調整をサポートさせていただきます。実作業は、お客様にて実施いただきます。
(4) オンボーディング
- 保護対象となるPCやサーバーにサービス対象製品を導入・有効化する作業を実施いただきます。ご要望に応じて、当社導入支援サービス・運用支援サービスに基づいてサポートさせていただきます。
- 既にMicrosoft Defender for Endpointをご利用の場合は、本項は実施いたしません。
(5) 初期学習
- オンボーディングを実施頂いたお客様環境にて、2週間前後間初期学習期間を取ります。
- 本期間中は、自動化のレベル「自動応答なし」で運用いたします。
- 本期間中に検出したアラートの対応は実施いたしません。
(6) サービス利用開始
- この時点より、本サービスの月額費用が発生いたします。
- 次項のサービス利用開始後の導入初期〜安定運用までの流れをご参照ください。
3-2. サービス利用開始後の導入初期〜安定運用までの流れ
本サービスは、以下の3フェーズで構成されます。
| フェーズ | 名称 | 主な内容 | 想定期間 |
|---|---|---|---|
| Phase 1 | 初期作業 | 初回ヒアリング、テナント開設・設定確認、オンボーディング、初期学習 | 2〜4週間 |
| Phase 2 | 集中適正化期間 | 設定調整、チューニング、プレイブック調整、慣熟期間、本運用開始判定 | 3ヶ月 |
| Phase 3 | 安定運用期間 | レポート提供、プレイブックに基づく重大アラート対応、継続的チューニング | 集中適正化期間終了後、 契約期間中 |
(1) 集中適正化期間
- サービス利用開始後、最低3ヶ月の期間、平日日中帯にすべての重要度のアラートについて、調査対応を実施します。
- 誤検知が認められた場合、除外設定やチューニングのご案内をし、ご了承に基づいて設定変更作業を実施いたします。
- 本期間中は、Microsoft Defender for Endpointの自動化のレベルを「Semi - すべてのフォルダーの承認が必要」で運用致します。
- 本期間中に、重大アラート発生時のプレイブックを作成します。プレイブックの内容(処置内容、お客様承認の要否)については、お客様と協議の上で決定します。プレイブックは、サービス提供中に必要に応じて見直しを行います。
- 本期間中に発生したアラートを対象に月次レポートを作成いたします。
(2) 安定運用期間開始判定
- 集中適正化期間が3ヶ月を経過した時点で、誤検知の発生状況を鑑みて安定運用期間開始の判定を実施し、結果をご連絡します。
- 集中適正化期間の延長が必要と判断される場合、別途お打ち合わせの席を設ける場合があります。
- 判定基準として、アラートの発生件数と重大アラートの発生頻度を指標としますが、これらに限りません。
(3) アラート設定
- 本番運用開始が判断された場合、当社システムより、お客様連絡先として頂いたメールアドレスへの通知設定を実施します。
お客様が管理するSlack、またはTeamsへの通知を希望される場合は、お客様による操作が必要です。
(4) 安定運用期間開始
- 本期間中は、Microsoft Defender for Endpointの自動化のレベルを「完全 - 自動的な脅威の修正」で運用致します。
- 脅威の修正にてシステム動作に影響が生じた場合の復旧につきましては、お客様にてご対応いただきます。
- 本期間で発生した重大アラートについて、あらかじめ用意したプレイブックに基づいて対応する運用を開始します。
3-3. 重大インシデント、重大アラート発生時の対応の流れ
重大インシデント・重大アラート発生時は、以下の段階で対応します。
- 発生通知(自動通知システムによるお客様への連絡)
- 誤検知・過剰検知の判断
- 初動対応(プレイブックに基づく処置・情報採取)
- 一次報告(初動結果のご報告)
- 追加調査(ベストエフォートでの追加分析)
- 月次レポートへの反映
(1) 重大インシデント、重大アラート発生の事実の伝達
- 当社システムより、お客様連絡先へ重大インシデント、重大アラート発生の事実を伝えるメールを送信します。ご契約者様、利用者様によって追加された設定に基づいて、SlackやTeamsへの通知もできます。
- 重大インシデント・重大アラートの通知は、発生から1時間以内にお客様指定の連絡先へ通知します(SLA)。
(2) 誤検知・過剰検知判断
- 当社エンジニアによる初期調査を実施し、誤検知であるかの判断を実施します。
- 誤検知と判定した場合、お客様報告先へ報告を実施します。
- 誤検知でない場合、初動対応を実施します。
(3) 初動対応・一次報告
- 当社システムからの通知後、初期調査結果とあらかじめ用意したプレイブックに基づいて実施した処置の内容と結果を、当社エンジニアよりお客様連絡先へご報告します。
(4) 追加調査
- 初動対応後、不足している情報につきまして、ベストエフォートで追加分析を行います。
- 追加分析の結果は、随時お客様連絡先へご報告します。
(5) レポートでのご報告
- 処理したアラートは、月次レポートでも報告します。
3-4. 重大以外のインシデント発生時の対応の流れ
(1) アラート内容の確認
当社エンジニアにより、平日日中帯にてアラート内容を確認した上で、アラートを処理します。
(2) チューニングのご提案
誤検知や過剰検知が認められた場合、お客様に除外設定やチューニングのご案内を差し上げます。
(3) ご報告
処理したアラートは、月次レポートにて報告します。
3-5. カスタムルール設定の流れ
カスタムルールの設定は、本サービスの定型サービスの範囲外となりますが、以下の条件のもとで対応いたします。
(1) サービス窓口へのご連絡
- ご契約者様、利用者様にてカスタムルールを設定される際は、当社サービス窓口までご連絡ください。
(2) 取扱いのご確認
- カスタムルールによって検出したアラートの取扱いについてご確認させていただきます。
(3) カスタムルールの設定、動作確認
- カスタムルールの設定、および動作確認は、お客様にて実施いただきます。
カスタムルールの重要度は、重大以外で設定いただきます。
(4) カスタムルールに付随する運用について
- カスタムルールによって検出したアラートに基づく個別通知や対応を希望される場合は、当社運用支援サービスに基づいてご対応いたします。
- カスタムルール設定に関するご相談は、当社Slackサポートサービス、または運用支援サービスに基づいてご対応いたします。
3-6. 製品に関する使い方やトラブルに関するお問合せの流れ
- 製品に関する使い方やトラブルに関するお問い合わせは、ライセンスを購入されている販売代理店様へお問い合わせください。
- 当社Slackサポートサービスやコンサルティングサービス、運用支援サービスなどをご契約されている場合、これらの契約に基づいて、切り分けやお問い合わせのご支援を実施いたします。
3-7. エージェントの更新の流れ
- Windowsの場合、Microsoft Defender for EndpointはOSの機能として組み込まれておりますため、エンジンやパターンファイルはOSの機能に基づいて更新されます。必要に応じて、お客様にてサポートバージョンのOSにバージョンアップしてください。
- その他のプラットフォームの場合、Microsoft Defender for Endpointの機能に基づいて、エージェントやエンジン、パターンファイルが更新されます。必要に応じて、お客様にてエージェントのバージョンアップを実施してください。
- 当社は、サービスエンジン(MDE)の仕様変更・アップデートに追従し、サービス仕様の見直しを随時実施します。製品の重大なアップデートがサービス内容に影響する場合は、お客様に事前にご説明します。
3-8. レポート提供の流れ
- 前月20日から当月19日までのアラートを対象にアラート検知状況と推奨事項のご案内を掲載したレポートを作成します。
- ご提供時期は当月末とします(SLO)。諸般の事情により前後する場合があります。
- 作成したレポートは、ご契約者様との共有クラウドストレージに格納し、お客様へご連絡差し上げます。
- レポート内容の報告会(有償)を希望される場合は、当社サービス窓口までご連絡ください。
4. 提供サービスの詳細
4-1. 提供機能
本サービスでは、主に以下の機能を提供します。
| 項目 | 機能 | 内容 |
|---|---|---|
| 基本機能 | 検知とブロック | お客様の端末(PCやサーバー)のOSの挙動ベースおよびヒューリスティックのリアルタイムウイルス対策保護を提供します。クラウドによる保護にて新たに出現する脅威のほぼ瞬時の検出とブロックを含みます。 |
| 基本機能 | 通知 | 当社監視システムから、検知とブロック機能に基づいて発生した重大インシデント・重大アラートの発生の事実をお客様指定のメールアドレスに通知します。ご契約者様、ご利用者様による設定に基づいて、SlackやTeamsにも通知できます。 |
| 基本機能 | 分析 | 高度なハンティング機能を用いて、最大30日間の生データを探索し、脅威インジケーターとエンティティをみつけます。 |
| 基本機能 | 修復 | 検出した脅威に対して、ファイルの削除や検疫への送信、そのまま残すことのいずれかを実行できます。 |
| 基本機能 | ネットワーク隔離 | 脅威を検出した端末(PCやサーバー)のネットワークにおけるMicrosoft Defender for Endpointに関連する通信以外を遮断します。 |
| 基本機能 | 月次レポート | アラート発生状況のサマリとアラート内容の解説、およびお客様環境の運用改善の提案などをまとめたレポートを月次で作成し、ご提供いたします。 |
| 設定機能 | 除外設定 | 特定のファイルハッシュ値やファイル名、拡張子、フォルダパスなどの条件でMicrosoft Defender for Endpointによる検出を除外します。 |
| 設定機能 | インジケータの追加 | 特定のIPアドレスやファイルハッシュ、FQDN等を指定して、アクセスや検出を追加、除外できます。 |
| 設定機能 | カスタムアラート | 高度なハンティング機能にカスタムクエリーを設定し、任意の挙動をアラートとして通知できます。 |
| 設定機能 | 自動化のレベル設定 | Microsoft Defender for Endpointによって検出された脅威をレベル設定に応じて修復を自動で実行します。 |
| 設定機能 | 情報の取得 | ライブレスポンス機能を用いて、ファイルのダウンロードやログの収集、実行中のサービス・プロセス一覧やタスクスケジューラの内容などの情報を収集できます。 |
| その他 | 月次レポート報告会 | 月次レポートの解説を希望されるお客様に対して、月一回一時間を限度に報告会を開催します(別途有償) |
4-2. お客様サポート
お客様サポートの内容とお問い合わせ窓口
| 項目 | 内容 | お問い合わせ窓口 |
|---|---|---|
| 各種手続きに関するお問い合わせ | 各種手続きおよび手続き方法に関するお問い合わせ。※検知時の通知メールの宛先や通知先の変更、本サービスのご利用に際して必要となる管理者アカウントの登録・変更を含みます。 | 当社サービス窓口 |
| 操作方法に関するお問い合わせ | Microsoft Defender for Endpointおよび管理画面の操作方法や使い方に関するお問い合わせ | お客様がライセンス購入している販売代理店のお問い合わせ窓口 ※当社サポートサービスをご利用の場合は、当社サービス窓口 |
| トラブル時のお問い合わせ | Microsoft Defender for Endpointおよび管理画面のエラーメッセージに関するお問い合わせや正常に利用できない際のサービス状態に関するお問い合わせ | お客様がライセンス購入している販売代理店のお問い合わせ窓口 ※当社サポートサービスをご利用の場合は、当社サービス窓口 |
| 仕様確認のお問い合わせ | 本書に記載されている内容についてのお問い合わせ | 当社サービス窓口 |
| 被害状況等の詳細調査に関するお問い合わせ | 検知された個別のアラートやインシデントの詳細な調査(フォレンジック調査等)のご相談に関するお問い合わせ。 | 当社サービス窓口へご連絡ください。当社がお客様の依頼に応じてフォレンジック専門会社への取り次ぎを行います。 |
| その他お問い合わせ | 本サービス内容など、その他のお問い合わせ | 当社サービス窓口 |
4-3. 責任範囲
本サービスにおける当社とお客様との責任範囲は以下の通りとします。
| 項目 | 当社の責任範囲 | お客様の責任範囲 |
|---|---|---|
| お客様環境のPCへのサービスエンジンの配布・有効化 | 当社とのサポート契約(別途有償)に基づいてご支援致します。 | お客様ご自身で、お客様環境のPCへサービスエンジンのオンボードやエージェントの配布します。 |
| サービスエンジン利用やトラブルシュートにあたってのお問い合わせ | 当社からライセンスを購入している場合、製品サポートに基き、お客様から頂いたお問い合わせに対応いたします。 | 販売代理店様へお問い合わせします。 |
| 重大インシデント・重大アラートの対応 | ・発生から1時間以内に、重大インシデント・重大アラート発生の事実をお客様指定の連絡先へご連絡します。(SLA) ・発生後、定められた一次対応を実施し、サービスエンジンの管理コンソールにて確認できる範囲で発生した事象について調査し、その概要について一次報告します。 ・一次報告で確認しきれなかった内容について、ベストエフォートで調査し、追加報告します。 ・定められたプレイブックに基づいて、一次対応で収集したデータをお客様に提供致します。 ・インシデント報告会には、参加いたしません。 | ・発生した事象についての指揮機能を有するインシデント対応チームを編成します。 ・サービスエンジンの管理コンソール以外のシステムのアラートやログを調査します。(ファイアウォールやIPS/IDS, 各種システムログ, 各種アプリケーションログなど) ・対象機器を回収し、保管します。 ・発生した事象についての調査内容や発生時系列を整理します。 ・関係各所への連絡や報告を随時実施します。 ・必要に応じて、インシデント報告会を開催し、善後策を検討します。 |
| 重大インシデント・重大アラートに関する詳細な調査 | お客様のご要望に基づいて、フォレンジックサービスへのお取り次ぎを致します。 | フォレンジックサービスへの情報提供、および調査対象機器の回収や発送や作業立ち会いなどを実施ください。 |
| 重大ではないインシデント・重大ではないアラートの対応 | ・平日日中帯にて、内容を確認し、調査完了したアラートはクローズ致します。 ・検知内容について、お客様環境についてご質問する場合があります。 ・アラートの内容は、月次レポートで報告致します。 | 当社からのご質問に対する調査や確認を実施し、回答します。 |
| カスタムアラートの設定 | ・お客様提示のパラメータに基づいて、設定作業を実施します。 ・カスタムアラートの対応方針について、お客様に確認の連絡をします。 ・カスタムアラートの対応方針の内容によっては、当社の別サービスの利用をご案内いたします。 | ・カスタムアラートのパラメータを当社サービス窓口に連絡します。 ・カスタムアラートを設定旨を、当社サービス窓口に連絡します。 ・カスタムアラートの対応方針を決定し、当社に共有します。 |
| 誤検知・過剰検知に対するチューニング | ・設定しきい値の調整や除外設定についてお客様と協議します。 ・協議の結果に基づいて、設定しきい値の調整や除外設定を実施します。 | ・当社からのご連絡に基づいて、内容を確認し、協議します。 ・協議の結果に基づいて、当社に作業の承認を判断をします。 |
| お客様環境のサービスエンジンの設定変更 | ・当社で実施する設定変更作業については、設定箇所と変更内容を記録致します。 | ・お客様にて実施した設定変更作業は、設定内容を当社サービス窓口へ連絡します。 ・設定変更内容は、お客様にて管理します。 |
| お客様環境のサービスエンジンの設定内容管理 | ・当社では管理致しません。 | ・お客様にて管理します。 |
| 月次レポート | ・前月20日から当月19日までに発生したアラートの傾向とその内容を掲載したレポートを、当月末に送付いたします。(SLO) ・レポートには運用や構成に関するアドバイスを含む場合があります。 ・提示したレポートの修正は実施しません。 | ・受領したレポートの内容を確認し、必要に応じて関係各所へ報告します。 ・レポートに掲載されている、運用や構成に関するアドバイスの実施について検討します。 |
| 月次レポート報告会(別途有償) | ・お客様のご要望に基づいて、月次レポート報告会のスケジュールを調整します。 ・ビデオ会議にてレポートの内容を解説する報告会を開催します。 | ・レポート着信後、当社へ月次レポート報告会を希望する旨を、当社サービス窓口へ連絡します。 |
| 現地調査・現地対応 | 実施致しません。 | 必要な対応を実施します。 |
| 復旧レベル | 管理コンソールで確認できる範囲に限定する。現地調査・現地対応は実施しません。 | 現地調査・現地対応を含む、管理コンソールで確認できる範囲以外の範囲を対応します。 |
| フォレンジック調査 | お客様の依頼に応じて、フォレンジック専門会社への取り次ぎを行います。 | フォレンジック専門会社への取り次ぎを当社に依頼します。フォレンジック専門会社との契約およびフォレンジック専門会社からの指示に従って作業を行います。 |
| 脅威の自動修正による影響 | 製品サポートへの問い合わせを支援します。 | 脅威の修正にてシステム動作に影響が生じた場合の復旧はお客様にて対応頂きます。 |
| 設定変更内容の管理 | 設定変更箇所をお客様に伝達します。 | お客様環境のサービスエンジンの設定内容はお客様にて管理します。 |
| 当社連絡への対応 | 該当なし | 当社からの連絡に基づいて、内容を確認し、協議・承認を判断する |
4-4. コミュニケーションツール
本サービスの提供およびお客様との日常的なコミュニケーションに使用するツールは以下のとおりです。
| ツール | 用途 |
|---|---|
| Slack(当社サービス窓口) | お問い合わせ・報告・日常的なコミュニケーション |
| Asana | タスク管理 |
| Box | データ授受 |
| Zoom | 月次レポート報告会(オプション)、打ち合わせ |
| メール | 重大インシデント・重大アラートの通知 |
4-5. データの保存期限
- サービスエンジン上のデータ保存期限は、サービスエンジンの仕様に準じます。
- 当社がサービス提供に利用するシステムが出力するログの保存期限は、90日とします。
- 当社がサービス提供のために管理している情報の保存期限は、契約終了から90日以内とします。
- 当社が提供するレポートの保存期限は、契約終了から90日以内とします。
4-6. 月次レポート報告会(オプション)
お客様のご要望に基づき、月次レポートの内容を解説する報告会を開催します。
| 項目 | 内容 |
|---|---|
| 開催形式 | ビデオ会議(Zoom) |
| 開催頻度 | 月1回 |
| 所要時間 | 1時間を限度とする |
| スケジュール調整 | お客様からのレポート着信後の報告会希望連絡に基づき、当社がスケジュールを調整する |
※ 月次レポート報告会は別途有償となります。
4-7. サービス提供体制
本サービスは、当社の組織的な運用体制のもとで提供します。特定の個人に依存しない体制を構築し、サービスの継続性と品質を確保しています。
| 役割 | 概要 |
|---|---|
| サービス責任者 | 本サービスの提供プロセス全体に関する責任を負い、日々の運用作業の体制整備・アウトプットの内容確認・仕様変更の最終承認等を行う |
| 品質管理者 | 品質基準・監視指標・レビューおよび是正・改善活動の枠組みを整備し、その運用状況を定期的に確認する |
| 運用担当者 | 日々のアラート調査・レポート作成等の運用作業を実施する |
当社は、ISMS(情報セキュリティマネジメントシステム)に基づくサービス提供環境の管理を行っています。
4-8. サービスレベル
本サービスにおけるサービスレベルは以下のとおりです。
| 区分 | 対象 | 目標 | 種別 |
|---|---|---|---|
| 重大インシデント・重大アラートの通知 | 重大インシデントまたは重大アラートが発生した場合 | 発生から1時間以内にお客様指定の連絡先へ通知 | SLA |
| 月次レポートの提供 | 前月20日〜当月19日のアラートを対象とするレポート | 当月末までに送付 | SLO |
- SLA(Service Level Agreement): 当社がお客様に対して遵守を約束する品質基準です。
- SLO(Service Level Objective): 当社が目標とする品質基準です。諸般の事情により前後する場合があります。
5. サービス提供条件
5-1. 提供エリア・提供言語
本サービスの提供エリアは、日本国内とします。本サービスでお客様とのコミュニケーションに用いる言語は、日本語とします。
5-2. ご利用に必要なライセンス
本サービスは、以下ライセンスの下で動作する環境でご利用できます。
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 E5 / A5
- Microsoft Defender XDR
- Windows Enterprise E5
※ 上記ライセンスおよびMicrosoft社の正規サポートの取得・維持はお客様の責任で行っていただきます。本サービスの提供にあたり、当社はMicrosoft社のサポート期間内において、製品のアップデートやパッチの適用状況を確認し、最新のセキュリティ機能・検知パターンに追従したサービスを提供します。
5-3. ご利用に必要な環境
本サービスは、以下の環境でご利用できます。(外部サイトにアクセスされます。)
- Microsoft Defender for Endpoint の最小要件
- Linux 用 Windows サブシステム用のMicrosoft Defender for Endpoint プラグイン (WSL)
- macOS 用 Microsoft Defender for Endpoint
- Linux でのMicrosoft Defender for Endpointの前提条件
基本的にインターネットへのアクセスを前提としているため、ご利用の環境でインターネットへの接続制限を実施している場合、必要に応じて別途通信を許可頂く必要があります。
5-4. 管理コンソールへのアクセス要件
Microsoft Defender for Endpointの管理画面へのアクセスはブラウザを介して行います。次のブラウザがサポートされています。
- Microsoft Edge
- Google Chrome
当社がお客様環境の管理コンソールへアクセスする際は、お客様から払い出されたアカウントを使用し、業務目的の範囲内でのみアクセスします。アクセス権限は、サービス提供に必要な最小限の範囲に限定します。
5-5. サービス提供時間と停止
サービス提供時間は、24時間365日ですが、メンテナンス等のためサービスを停止することがあります。
メンテナンスについて
- 計画メンテナンス: 本サービスの維持・改善のために計画的なメンテナンスを実施する場合があります。計画メンテナンスの実施にあたっては、事前にお客様へ通知します。
- 緊急メンテナンス: 緊急度が高い場合には、事前通知を行わずに計画外のメンテナンスを実施することがあります。
- メンテナンス中の保護: メンテナンス中においても、お客様端末上で動作するエージェントは自動的に動作するため、保護・検出機能は継続して提供されます。
- メンテナンス後の対応: メンテナンス終了後、管理コンソールに表示されているアラートを対象に通常どおり対応します。
サービスの提供と停止・通知
本サービスの監視・対応は平日日中帯(当社営業日の9:00〜18:00、日本標準時)に実施します。ただし、お客様端末上で動作するサービスエンジンの保護・検出機能は24時間365日提供されます。重大インシデント・重大アラートの自動通知は、24時間365日、当社の自動通知システムにより動作します。
| 項目 | 内容 |
|---|---|
| サービス提供時間 | 24時間365日(メンテナンス時、障害時を除く) |
| お問い合わせ受付時間 | 24時間365日(メンテナンス時、障害時を除く) |
| お問い合わせ対応時間 | 営業日の10:00-18:00の時間帯において、ベストエフォートで対応します。 |
| 重大インシデント・重大アラートの連絡時間 | 24時間365日(本運用開始後、メンテナンス時、障害時を除く) 発生から1時間以内に、発生の事実をお客様指定の連絡先メールアドレスに通知します。 |
| 重大インシデント・重大アラートの調査対応時間 | ベストエフォートで対応します。 |
| 重要ではないインシデント・重要ではないアラートの調査対応時間 | 営業日の10:00-18:00の時間帯において、ベストエフォートで対応します。 |
| サービス停止(メンテナンス時) | 本サービスで利用しているツールの提供元ベンダーや本サービスを提供する目的で用意したシステムを管理している当社が、計画的に実施するメンテナンス。メンテナンスによって、管理コンソールやアラート検知が停止することがあります。その際は、一時的にサービスの一部が利用できなくなりますが、お客様の端末(PC)上で動作するエージェントは自動的に動作するため、メンテナンス中でも保護・検出機能を提供します。メンテナンス終了後、管理コンソールに表示されているアラートを対象に通常通り対応します。 |
| サービス停止(障害時) | 本サービスで利用しているツールや本サービスを提供する目的で当社が管理しているシステムの停止。当社が障害を知覚した場合、切り分けの上で障害対応やお客様へのお知らせを行います。 |
| サービス停止に関するお知らせ | 本サービスで利用しているツールや本サービスを提供する目的で当社が管理しているシステムの停止に関するお知らせは、当社サービス窓口に送付します。計画的なメンテナンスの際には、当社は事前にお知らせを当社サービス窓口に送付します。緊急度が高い場合には、通知を行わずに計画外メンテナンスを実施することがあります。 |
5-6. 脅威検知や重要度の判定基準
本サービスにおける脅威の検知や重要度の判定は、サービスエンジンに基づく基準によって行われます。また、この基準は除外設定やカスタム設定等により明示に指定したものを除き、サービスエンジンの提供元であるMicrosoft社により自動的に更新されます。
本サービスは、サービスエンジンの検知・ブロック機能を活用した「保護」と、アラートの調査・分析に基づく「運用最適化」を組み合わせたサービスです。単なるアラート監視(通知のみ)ではなく、アラートの原因特定(Root Cause分析)および是正提案を含むサービスを提供します。
調査対象はEDRが検出したすべてのアラート(高・中・低・情報を含む)とし、重大アラートのみに限定しません。
5-7. お客様環境の管理コンソールへのアクセス
重大インシデント・重大アラートの対応として、定められた操作を実施するため、必要に応じて当社や協業先がお客様環境の管理コンソールにアクセスする場合があります。また、サービスを提供する上で必要な設定を適用するために、お客様環境の管理コンソールにアクセスすることがあります。
当社のサービス提供に使用する監視運用基盤へのアクセスは、業務上必要な担当者に限定し、論理的なアクセス制御を実施しています。
5-8. お客様環境における情報取得作業
本サービスを提供する上で、当社がお客様環境へアクセスする際、当社が用意した運用環境からアクセス致します。運用環境の固定IPアドレスは、契約者様、利用者様のお問い合わせに基づいて、別途提示致します。
当社は、重大インシデント・重大アラートの対応の際、お客様環境の管理コンソールから取得できる範囲で、あらかじめ定めた各種情報を取得致します。
本サービスが意図した機能や性能を提供できない状態になった場合、当社にて調査を行う事があります。その場合は、ご契約者様、利用者様は当社からの依頼に応じて各種情報を提供いただくものとします。
当社が、お客様環境より取得した情報、および契約者様、利用者様から受領した情報は、当社が管理する適切にアクセス制御された場所に保管致します。
5-9. データの二次利用
本サービスによって取得されたログやインシデント等の情報は、お客様を特定できないよう匿名化した上で、以下の用途に二次利用(調査、分析、編集)することを承諾したものとします。
- 製品、サービス利用者への分析結果の情報提供
- 製品、サービスの販売促進データとしての活用
- 製品、サービスの品質向上のための活用
- セキュリティに関する脅威トレンドの調査・分析
- 新たなサイバー攻撃等の被害未然防止に資する目的での第三者(報道関係者含む)への提供
5-10. セキュリティインシデントへの対応
本サービスは、セキュリティインシデントを完全に防止するサービスではありません。また、サービスエンジンの機能上、脅威の検知漏れ(False Negative)や誤検知・過検知(False Positive)が発生する可能性があります。これらのリスクを低減するために、チューニングを継続的に実施しますが、完全に排除することはできません。万が一損害を被った場合、当社はいかなる補償も行わないものとします。損害には以下のようなものが含まれますが、これらに限定されません。
- セキュリティインシデントによる情報機器(ハードウェア、ソフトウェア)やデータの破損
- 記憶媒体損壊による再作成
- 本サービスが提供する機能の停止により発生する、お客様の売り上げ減少や風評被害に伴う収益減少や機会損失
- 第三者に対して負担する損賠賠償責任による損害
5-11. パフォーマンスに関する留意事項
- サービスエンジンのお客様環境側の設定(定期スキャン、スキャン設定など)によって、一時的にCPU使用率が高くなる場合があります。改善には、サービスエンジンのお客様環境側の設定の見直しをご検討ください。
- サービスエンジンに競合するアプリケーションによって、CPU利用率が高くなることがあります。改善には、競合しているソフトウェア双方に適切な設定が必要です。
- サービスエンジンの更新の際に、一時的に本サービスに関連する通信量が増加し、通信速度が低下するなどの影響が生じる場合があります。
- Microsoft Defender for Endpointの通常動作(リアルタイム保護、行動監視等)により、お客様環境のシステムパフォーマンスに影響が生じる場合があります。
5-12. 本サービスを利用する上で生じる費用負担
ご契約者様は、本サービスの利用料に加えて、本サービスの利用に付随して発生する費用を負担します。本サービスを利用する上でお客様環境に作成するものの例を以下に記載しますが、これらに限定されません。
- 重大インシデント・重大アラート対応時に利用するお客様環境操作用ユーザーアカウント、およびライセンス
- 当社運用基盤へのデータ連係設備利用料(Microsoft Sentinelなど)
- お客様環境に保管するデータ保管料(Microsoft Sentinelなど)
- インターネット接続利用量、お客様環境のデータ伝送使用量
- お客様の要望に応じて当社が提供する、本サービス以外の各種サービス利用料
5-13. 禁止事項
- サービスエンジンや本サービスのシステムに対して、過重な負荷をかけて、当社の本サービスの提供に関する業務に悪影響を与えたり、第三者の利用を妨げたりすること。
- 本サービスに関連するサービス、アカウント、コンピューターシステムおよびネットワークに対して不正なアクセスを試みること。
5-14. 免責事項
- 本サービスの各機能は、サービスエンジンの機能に基づいて提供されています。すべての脅威およびその影響について、防御や対応を保証するものではありません。
- 本サービスにおける復旧対応は、サービスエンジンの管理コンソールで確認・操作できる範囲に限定されます。お客様環境における現地調査・現地対応は本サービスの範囲外とします。
- お客様環境にサポート外となる古いバージョンのOSやエージェントが存在する場合、サービスエンジンの機能が十分に動作しない場合があります。これに起因して、本サービスの一部または全部が機能しなかった場合は、当社は責任を負わず、返金等もいたしません。
- 当社は、インターネット回線業者やISPの都合により、本サービスの提供に支障が生じた場合は、責任を負わないものとします。
- 当社は、お客様が当社の見解やアドバイスに基づいて実施した対応の結果に対する責任を負わないものとします。
5-15. 契約者様、利用者による利用停止
契約者様、または利用者様による本サービスの利用停止もしくは終了またはその他いかなる理由においても、本サービスの代金は返金しないものとします。
5-16. 契約者様、利用者の責任
契約者様、利用者が本書に違反したことにより、当社または第三者が損害を被った場合、契約者様、利用者は、自己の責任と費用をもって、当社または第三者に対しその損害を賠償するものとします。
5-17. 反社会勢力の排除
本サービスの契約者様は、本サービスの申し込みを以て、本サービスの利用者に、現在、暴力団、暴力団員、暴力団員でなくなったときから5年を経過しない者、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロまたは特殊知能暴力集団等およびその他これらに準ずる者(以下、「暴力団員等」といいます。)または、下記1項の各号のいずれにも該当しないことを表明するとともに、将来においても利用者が該当しないこと、自らまたは第三者を利用して2項の各号のいずれかに該当する行為を一切しないことを確約し、利用者の故意過失を問わず、かかる表明に違反し、あるいはかかる確約に違反した場合には、本サービスの利用停止または本書の解除ができることについて異議なく承諾するものとします。
これにより契約者様および利用者に損害が生じた場合でも、当社に何らの請求は行わず、一切は利用者の責任とします。また、かかる表明、確約に違反して当社に損害が生じた場合には、その一切の損害を賠償しなければならないものとします。
(1) 契約者は、本サービスの利用者が、現在および将来において次の各号のいずれにも該当しないこと確約するものとします。
- 暴力団員等が経営を支配していると認められる関係を有すること。
- 暴力団員等が経営に実質的に関与していると認められる関係を有すること。
- 自己、自社もしくは第三者の不正の利益を図る目的または第三者に損害を加える目的をもってするなど、不当に暴力団員等を利用していると認められる関係を有すること。
- 暴力団員等に対して資金等を提供し、または便宜を供与するなどの関与をしていると認められる関係を有すること。
- 役員または経営に実質的に関与している者が暴力団員等と社会的に非難されるべき関係を有すること。
(2) 契約者は、本サービスの利用者が、自らまたは第三者を利用して次の各号に該当する行為をしないことを確約するものとします。
- 暴力的な要求行為
- 法的な責任の範囲を超えた不当な要求行為
- 取引に関して、脅迫的な言動をし、または暴力を用いる行為
- 風説を流布し、偽計を用いまたは威力を用いて本機能の信用を毀損し、または本機能の提供を妨害する行為
- その他前各号に準ずる行為
5-18. その他
- 資料の提出、監査や検査の受け入れ、チェックシートの作成など、お客様個別の依頼には対応いたしません。
- 本サービスでお客様に提供するレポート、アドバイス、提言などの一切は、お客様組織内でのみご利用いただけます。当社の書面による事前の同意なく第三者へ共有・公開することを禁止します。
- 個人情報の取扱については、当社ホームページ記載のプライバシーポリシーおよび本書に準ずるものとします。
- サービスエンジンで取得した情報を分析する目的で、生成AIを補助的に利用する場合があります。なお、生成AIは、入力したデータをAIモデルの学習に利用せず、分析以上の目的で保存しないものを利用するものとします。最終的な判断および報告内容は、当社エンジニアが確認した上でお客様に提供します。
- 本書にて定めのない事項については、ご契約者様と当社との間で別途協議の上、判断いたします。
6. 契約について
ここでは、本サービスの契約概要について記載します。
6-1. サービス提供とご請求開始のタイミング、および契約締め日
原則として、契約申し込み後、初期学習期間終了日の月末に初期費用を請求致します。サービス料金は、集中適正化期間が開始された月末に請求致します。
契約変更などの締め日は、毎月月末(土日祝日の場合は、直前の営業日)とします。
(1) 契約申し込みから初期費用のご請求のタイミング
| フェーズ | 請求に関連するイベント | 日付例 |
|---|---|---|
| 初期作業 | 契約申込日 | 3/10 |
| 初期作業 | 初期作業終了日 | 4/10 |
| 集中適正化期間 | 初期費用請求日 | 4/末 |
| 集中適正化期間 | 初期費用お支払い日 | 5/末 |
(2) 初回サービス料金のご請求のタイミング
| フェーズ | 請求に関連するイベント | 日付例 |
|---|---|---|
| 初期作業 | 初期作業終了日 | 4/10 |
| 集中適正化期間 | 月額契約台数確定 | 4/25 |
| 集中適正化期間 | サービス料金初回請求日 | 4/末 |
| 集中適正化期間 | サービス料金初回お支払い日 | 5/末 |
6-2. 契約期間と更新
契約期間は、集中適正化期間開始月から最低3ヶ月とし、以降1ヶ月毎の自動更新となります。
6-3. その他の契約内容の変更
契約時に申告いただいた名称や住所など変更が生じた際は、速やかに当社サービス窓口までご連絡ください。
6-4. 契約台数の算出
サービスエンジンの管理画面で当社に払い出しているアカウントで識別できるアクティブな端末台数を契約台数とします。
6-5. 契約台数の追加・減少
毎月20日〜月末までのいずれかの時点で、サービスエンジンの管理画面で当社に払い出している識別されているアクティブな端末台数を契約台数とします。
変更後の契約台数は、当月の請求より反映致します。
6-6. 解約について
解約の際は、解約希望月の前々月契約締め日までに当社サービス窓口までご連絡ください。
- 解約希望日の前々月契約締め日までに当社サービス窓口までにご連絡をいただけない場合、翌々月の自動更新が適用されます。解約希望月の月末より前に解約を希望する場合でも、サービス料金は日割返金されませんのでご注意ください。
- 【例】12月末までで解約をしたい(=解約希望月が12月である)場合、同年10月末(土日祝日の場合は、直前の営業日)までに当社サービス窓口まで、本サービスの解約の旨をご連絡ください。
解約の際は、解約希望月の月末までに本サービス利用の目的でお客様環境に作成したリソースの削除作業を実施ください。削除方法については、別途ご案内します。
当社で保存しているログおよびお客様の情報は、「データの二次利用」に記載のお客様を特定できないよう加工されたデータを除き、解約後に削除します。
改訂履歴
| 制定・改訂 | 変更日 | 変更点 |
|---|---|---|
| 初版作成 | 2025年5月27日 | - |
| 改訂 | 2026年4月8日 | サービス名称を「EDR運用最適化サービス」に変更。SLA/SLO・サービス提供体制・コミュニケーションツール・メンテナンス管理等のセクションを追加。品質管理マニュアル・紹介資料・経済産業省要件との整合性を確保。 |
まずはお気軽にご相談ください
ご相談は無料です。インシデント対応から本格的なゼロトラスト導入まで、技術的な質問から具体的な導入計画まで、エンジニアが直接お答えします。