Microsoft Defender for Endpoint まいくろそふと でぃふぇんだー ふぉー えんどぽいんと
簡単に言うとこんな感じ!
会社のパソコンを狙う攻撃を、リアルタイムで検知・ブロック・調査してくれるMicrosoft製のセキュリティサービスだよ!ウイルス対策ソフトの「上位版」で、「何かおかしいぞ」を自動で見つけて対処してくれるんだ。
Microsoft Defender for Endpointとは
Microsoft Defender for Endpoint(MDE) は、Microsoftが提供するエンタープライズ向けのエンドポイント保護プラットフォームです。Windows・macOS・Linux・iOS・Androidなど多様なデバイス(エンドポイント)をサイバー攻撃から守ることを目的としており、従来のウイルス対策ソフトを大きく超える機能を持っています。
MDEの核心はEDR(Endpoint Detection and Response) という仕組みです。EDRとは「怪しい動きを検知して、調査・対応まで行う」技術で、攻撃を未然に防ぐだけでなく、「侵入されてしまった後」の追跡・封じ込め・復旧もサポートします。「泥棒が入るのを防ぐ鍵」だけでなく、「入ってしまった泥棒の動きを監視して捕まえる防犯カメラ」の役割も担うイメージです。
Microsoft 365 E5ライセンスに含まれており、多くの企業がすでに契約しているMicrosoft環境にシームレスに統合できる点が大きな強みです。Azure AD(現Microsoft Entra ID)やMicrosoft Intuneとの連携により、ゼロトラストセキュリティ戦略の中核として機能します。
MDEの主な機能・構成
| 機能カテゴリ | 具体的な機能 | ひとことで言うと |
|---|---|---|
| 脅威の防止 | 次世代アンチウイルス・攻撃面の削減 | 既知・未知の攻撃をブロック |
| EDR | 振る舞い検知・アラート・タイムライン調査 | 侵入後の動きを追跡 |
| 脆弱性管理 | ソフトウェアの脆弱性スコアリング・修正提案 | 穴を見つけて塞ぐ |
| 自動調査・修復 | AIによる自動トリアージ・隔離 | 担当者の代わりに一次対応 |
| 脅威インテリジェンス | Microsoftのグローバル脅威データベース連携 | 世界中の攻撃情報を活用 |
| デバイスコンプライアンス | Intune連携・条件付きアクセス | ルールを守らないデバイスをシャットアウト |
プランの違い(Plan 1 / Plan 2)
MDEには2つのプランがあります。
| 項目 | Plan 1(MDE P1) | Plan 2(MDE P2) |
|---|---|---|
| 含まれるライセンス例 | Microsoft 365 E3 | Microsoft 365 E5 |
| 次世代アンチウイルス | ✅ | ✅ |
| EDR(振る舞い検知) | ❌ | ✅ |
| 脆弱性管理 | ❌(基本のみ) | ✅(詳細) |
| 自動調査・修復 | ❌ | ✅ |
| 脅威インテリジェンス | ❌ | ✅ |
発注・選定のポイント: すでにMicrosoft 365 E5を契約している企業はMDE P2が使えます。「うちは何のライセンスか」をまず確認しましょう。
覚え方のコツ
「守る→見る→直す」の3ステップで覚えるとわかりやすいです。
守る(Prevent) → ウイルス・不審なファイルを事前にブロック
見る(Detect) → 侵入後の怪しい動きをリアルタイムで監視
直す(Respond) → 自動または手動で隔離・修復・調査歴史と背景
- 2016年 — 「Windows Defender Advanced Threat Protection(ATP)」としてWindows 10向けに提供開始。当初はWindowsのみ対応
- 2019年 — macOS対応を追加。クロスプラットフォーム化が始まる
- 2020年 — 「Microsoft Defender for Endpoint」に名称変更。Linux・iOS・Androidにも順次対応
- 2021年 — Plan 1 / Plan 2の2段階プランを導入。中小企業でも導入しやすくなる
- 2022年〜 — Microsoft 365 Defenderとの統合が進み、XDR(Extended Detection and Response) プラットフォームの一部として位置づけ。メールやクラウドアプリの脅威と横断的に分析できるように
なぜ生まれたか: 従来のウイルス対策ソフトはシグネチャ(既知ウイルスのパターン)に頼るものでした。しかし2010年代以降、シグネチャに引っかからない「ゼロデイ攻撃」や「ファイルレスマルウェア」が急増したため、「振る舞い」を見て判断するEDRが必要とされるようになりました。
他のセキュリティ製品との比較
MDEは単独製品ではなく、Microsoftのセキュリティスイート全体の中に位置づけられています。
競合製品との比較
| 製品名 | ベンダー | 特徴 | Microsoft環境との親和性 |
|---|---|---|---|
| Defender for Endpoint | Microsoft | Microsoft環境に深く統合 | ◎ 最高 |
| CrowdStrike Falcon | CrowdStrike | EDR専業・検知精度が高い | △ 別途設定が必要 |
| SentinelOne | SentinelOne | AI自動対応が強力 | △ 別途設定が必要 |
| Symantec Endpoint Security | Broadcom | 老舗・大企業向け | △ 別途設定が必要 |
| Carbon Black | VMware | クラウドネイティブなEDR | △ 別途設定が必要 |
選定のポイント: 会社のPCがほぼすべてWindowsでMicrosoft 365を使っているなら、追加コストなしで使えるMDEが第一候補になります。一方でセキュリティ専任チームがおらず、外部SOC(セキュリティ監視センター)に委託する場合は、SOCが慣れているツールを優先することも重要です。
関連用語
- EDR — Endpoint Detection and Responseの略。侵入後の検知・調査・対応を担うエンドポイントセキュリティの仕組み
- XDR — EDRをメール・ID・クラウドにも拡張した次世代セキュリティプラットフォーム
- ゼロトラスト — 「社内だから安全」という前提を捨て、すべてを検証するセキュリティモデル
- Microsoft Intune — デバイスのポリシー管理・設定配布を行うMicrosoftのMDMサービス
- Microsoft Entra ID — MicrosoftのクラウドIDサービス(旧Azure AD)。MDEと連携して条件付きアクセスを実現
- SIEM — セキュリティログを収集・分析する監視基盤。Microsoft SentinelがMDEと連携
- 脆弱性管理 — ソフトウェアの穴(脆弱性)を継続的に発見・修正するプロセス
- SOC — セキュリティオペレーションセンター。MDEのアラートを監視・対応する組織