Defender for Endpointとは
Microsoft Defender for Endpointは、Microsoftが提供するEDR(Endpoint Detection and Response)ソリューションです。従来のウイルス対策ソフト(パターンマッチング型)とは異なり、デバイス上の振る舞いをAIでリアルタイム分析し、未知の脅威やファイルレス攻撃も検知・対応できます。
Defender for Businessとの関係
| 製品 | 対象 | 含まれるライセンス |
|---|---|---|
| Defender for Business | 300名以下の中小企業 | M365 Business Premium |
| Defender for Endpoint P1 | 大企業 | M365 E3 |
| Defender for Endpoint P2 | 大企業 | M365 E5 |
中小企業はBusiness Premiumに含まれるDefender for Businessを利用します。P2相当の高度な機能(自動調査・修復、脅威分析)がP2よりも低コストで使える点が特徴です。
主要機能
| 機能 | 内容 |
|---|---|
| 次世代保護 | AIベースのリアルタイムマルウェア検知。パターンファイル不要で未知の脅威にも対応 |
| EDR(検知と対応) | デバイス上の不審な振る舞いを検知し、アラートを生成。タイムラインで攻撃の経緯を可視化 |
| 自動調査・修復 | アラート発生時にAIが自動的に調査を実施し、マルウェアの隔離やプロセスの停止を自動実行 |
| Attack Surface Reduction | 攻撃経路を縮小するルール(Officeマクロからの子プロセス起動ブロック等) |
| 脆弱性管理 | デバイス上のOS・ソフトウェアの脆弱性を検出し、パッチ適用の優先度を提示 |
| Web保護 | フィッシングサイト、悪意のあるURLへのアクセスをブロック |
Intune連携
Defender for EndpointはIntuneと密接に連携します。IntuneのコンプライアンスポリシーでDefenderのリスクスコアを条件に設定すれば、「脅威が検出されたデバイスはM365へのアクセスをブロック」という自動対応が実現します。
導入手順
- Step 1:Microsoft Defender管理センター(security.microsoft.com)でDefender for Businessを有効化
- Step 2:Intune経由でオンボーディングポリシーを全デバイスに配布(自動設定)
- Step 3:Attack Surface Reductionルールを設定(推奨ルールをブロックモードで適用)
- Step 4:Intune コンプライアンスポリシーにDefenderリスクスコアの条件を追加
- Step 5:アラートの通知先(メール/Teams)を設定し、日次のアラート確認体制を構築
運用のポイント
- アラートの優先度管理:重大度「高」「中」のアラートを優先的に対応。「低」「情報」は週次レビュー
- 自動修復の信頼:Defender for Businessの自動調査・修復は精度が高い。過検知が少ない環境では自動修復を有効にして対応速度を向上
- 月次の脆弱性レビュー:脆弱性管理ダッシュボードで検出された脆弱性を月次で確認し、パッチ適用を計画
まとめ
Defender for Endpoint(Defender for Business)はBusiness Premiumに含まれるEDRです。AIベースの検知と自動修復で、専任のセキュリティ担当がいない中小企業でも高度なエンドポイント保護を実現できます。