誰も置き去りにしない、現場のリアルを守るDefender for Endpoint最新アップデート | Microsoft Ignite 2025参加レポート

Microsoft Ignite 2025では、Defender for Endpointの注目のアップデートがありました。レガシーOSへの対応や、カスタムデータ収集、そしてPredictive Shieldingによる予測防御など、昨日の詳細が紹介されたセッション「Endpoint security in the AI era: What's new in Defender」のレポートをお届けします。

今回のセッションは、Microsoft Defender for Endpointの最新機能を中心に、現実のエンドポイント環境と攻撃状況を踏まえた「エンドポイント防御の現実解」を示す内容でした。主なトピックは以下の3点です。

• レガシーOSへの対応拡張
• カスタムデータ収集（Custom Data Collection）
• 自律防御の次フェーズ「Predictive Shielding」

Microsoft Defender for Endpoint | Microsoft Security

Microsoftが把握している現場の実態として、特にサーバー環境（Windows Server）がクライアント端末ほど十分に防御されていないケースが多いことが指摘されました。多くの企業では、Windows 10 / 11以外にも、Windows 7やServer 2008 R2といったレガシーOSが依然として一定割合で存在しています。

特筆すべきは、ランサムウェア攻撃の70%以上が「Defenderなどの保護が未導入のデバイス」を足がかりにしているという事実です。理想論としては「全て最新OSにアップグレード」「クラウドIDへの統一」が推奨されますが、現実には時間・コスト、運用体制の違いなどが障壁となり、全デバイスの統一的防御は容易ではありません。

今回のアップデートでは、Windows 7およびWindows Server 2008 R2に対するDefender for Endpointのサポートが大幅に拡充されました。従来のアンチウイルス機能だけでなく、Attack Disruption（自動攻撃遮断）など、ほぼ最新OSと同等の防御機能が提供されます。

＜対応OS例＞

• Windows 10 / 11
• Windows Server 2012以降
• Windows 7 / Server 2008 R2（拡張サポート）
• Linux各ディストリビューション など

Microsoftは「レガシーOSが最も安全になることはない」としつつも、「現実に残っているレガシーを可能な限り守る」姿勢を強調しています。

Defenderは、OSごとに導入手順が異なるため、「ネットワークに存在するがDefender未導入」のデバイスが多く生まれやすく、これがランサムウェアの侵入経路となっていました。

Igniteでパブリックプレビュー開始となった「Defender Deployment Tool」は、Microsoft Defender Portalから1つのパッケージをダウンロードし、実行時にデバイスのOS種別・バージョンを自動判別。必要なDefender for Endpointを自動インストールし、前提条件のチェックも自動で行います。

Intuneの代替ではなく、管理基盤がない組織やレガシーOSが残る環境を補完するツールです。デモでは、Windows 7端末への自動認識・自動導入の様子が披露され、運用現場の負担軽減と導入率向上に大きく寄与することが示されました。

Defenderは標準で多くのテレメトリを収集していますが、各社のSOC（Security Operation Center）ごとに「より細かく取得したいログ」や「特定アプリのイベント」などのニーズが異なります。そのため、従来は別途エージェントやツールを導入する必要がありました。

新機能として「カスタムデータ収集ポリシー」がDefender内で定義可能となり、特定イベントやテーブルを追加で収集できます。これにより、収集されたデータはDefenderの既存テレメトリと同じパイプラインで扱われ、自動的に他のシグナルと相関され、高精度なインシデントとして統合表示されます。

デモでは、Defenderポータルでカスタムポリシー作成から収集・分析までの流れが紹介され、SOC運用の柔軟性が大幅に向上したことが示されました。

約2年前のIgniteで発表された「Attack Disruption（自動攻撃遮断）」機能は、フィッシングなどの攻撃を検知すると、数分以内にアカウントのセッション解除・認証トークン取り消し・攻撃プロセスの強制終了などの措置を自動実行します。

この機能により、標準的なランサムウェア攻撃の70%以上が自動的に遮断されており、横展開の攻撃を「3分以内に止める」運用目標を維持しています。顧客からは「Attack Disruptionがなければ被害は想像もつかないレベルだった」といった声が多く寄せられる一方、「自動化による人間の制御への不安」も指摘されています。

Predictive Shieldingは、Microsoft Defender for Endpointに導入された最新の自律防御機能です。従来のAttack Disruptionが「起きた攻撃を止める」ことに主眼を置いていたのに対し、Predictive Shieldingは「次に起こる攻撃ステップを予測し、その前に環境をハードニングする」ことを目指しています。

• 初期侵害検知
  Defenderは、不審なリモート接続や権限昇格、ランサムウェアの挙動などから侵害のシグナルを検知します。99%の確信度で攻撃を認識した場合、Attack Disruptionを発動し、現時点の攻撃を封じ込めます。
• 攻撃者プロファイルの参照
  Microsoftの脅威インテリジェンス（MSTIC）が保有する攻撃者のプロファイル（例：Cactus ransomwareなど）を参照し、過去のTTP（戦術・技術・手順）から「次に取る可能性の高い攻撃ステップ」を推定します。
• 予測とリスク評価
  例えば、安全モード再起動によるセキュリティスタックの無効化など、次に想定される攻撃手法を予測。さらに、環境内のどのデバイスがその攻撃パスにさらされるか（ドメイン参加デバイス等）を計算します。
• 自動ハードニング
  予測された攻撃パスに対して、対象デバイスにのみ一時的なハードニングを適用します。具体例として、「安全モードの悪用を防ぐためのOSレベルの制御」「新規GPO（グループポリシー）適用の一時停止」などが挙げられます。

デモでは、攻撃者が侵入し、権限昇格後に安全モード再起動でDefenderを無効化しようとする流れが紹介されました。Defenderは初期侵害をAttack Disruptionで遮断し、Predictive Shieldingが「次にSafe Mode悪用が来る」と予測してSafe Modeへの切り替えをブロックします。さらに、攻撃者がGPOを悪用してセキュリティを無効化しようとすると、Predictive Shieldingが「GPO経由のセキュリティ無効化」を検知・予測し、一時的に新規GPO適用のみをブロックします。既存の正規ポリシーは維持され、攻撃者の複数の試行も事前防御で封じ込めることが可能です。

• 深いOS統合
  Safe Mode制御やGPO制御など、Windows内部に深く統合された制御を用いることで、他にはない独自の防御力を発揮します。
• 業務への影響を最小化
  対象デバイスやポリシーを限定し、必要最小限の防御策のみを一時的に適用する設計です。
• 管理者による制御
  すべての予測・ハードニングはインシデントビューやThreat Analyticsに表示され、管理者が詳細を確認し、必要に応じて解除や調整が可能です。

Predictive Shieldingは、攻撃の予測と事前防御を組み合わせることで、従来のリアクティブな対策からプロアクティブな自律防御へと進化しています。現実的な脅威シナリオに即した防御を提供することで、組織のセキュリティレベルをさらに高めることが期待されています。

Defender for Endpointは、現実のレガシーOS環境へのサポート拡充、SOCニーズに合わせた柔軟なデータ収集、そしてAttack Disruptionからさらに進化したPredictive Shieldingによる自律防御を組み合わせることで、単なる検知・可視化ツールから「組織全体をリアルタイムで守る自律セキュリティプラットフォーム」へと進化しています。

また、「完全自動化」による不透明さへの懸念に対しては、詳細なログや説明、制御権を管理者に提供し、「人とAIが協働して防御する」モデルを重視している点も強調されていました。

今回のDefender for Endpointアップデートはキーワードは「レガシーOS対応」「Defender Deployment Tool（導入しやすさの向上）」「Predictive Shielding（予防型防御）」の3つがポイントです。

まず、レガシーOS対応についてですが、業務やシステムの都合上、どうしても古いOSを使い続けざるを得ない現場が多いことは以前から認識していました。しかし、Microsoftが公式にサポート範囲をWindows 7やServer 2008 R2まで拡大したことは、非常に重い意味を持つと感じました。これは、これらの古いOSが実際にランサムウェアなどの攻撃の“入り口”として悪用されるケースが多いという現実を反映しているからです。Microsoftが現場の実態に寄り添い、理想論だけでなく現実的なセキュリティ対策を強化している姿勢が明確に伝わってきました。

次に、Defender Deployment Toolの登場も非常に象徴的です。これまではOSごとに導入手順が異なり、未保護デバイスがネットワーク上に取り残されることが多く、セキュリティリスクとなっていました。しかし、この新ツールにより、1つのパッケージでOSを自動判別し、最適なDefenderエージェントを自動導入できるようになりました。これにより、導入のハードルが大幅に下がり、今まで取りこぼされていた端末も一気に保護対象に加えやすくなった点は、運用現場にとって大きなメリットです。一方で、Microsoftが「できるだけ多くのデバイスをDefenderの傘下に取り込む」囲い込み戦略を強く進めている側面も感じました。

そして、Predictive Shieldingは今回のアップデートの中でも特に革新的なポイントです。従来のAttack Disruptionが「攻撃が始まった後に数分以内で止める」機能だったのに対し、Predictive Shieldingは「攻撃者が次に取りそうな手口をAIが予測し、事前に防御策を講じる」という一段上の自律防御を実現しています。最近のセキュリティ業界全体のトレンドとしても自律防御や自動対応が注目されていますが、Defenderはその中でも「予防型」のレベルにまで進化している印象を受けました。

総じて、今回のアップデートは、レガシーOSまで含めた守りの範囲拡大、Deployment Toolによる導入障壁の低減、Predictive Shieldingによる“未来の攻撃”への先回り防御と、技術的にも運用的にも非常に完成度の高いものだと感じています。Microsoft Defender for Endpointは、AI時代のエンドポイントセキュリティの「現実解」を示しており、今後も現場のニーズに応え続ける進化に期待しています。