完全版｜Defender for Endpoint
（MDE P2）実装

【要約】

• 止める：ASR が未知の実行や Office 悪用を事前に遮断。EDR in block mode が他社AV環境でも実害を止める。

• 直す：AIR（自動調査・自動修復） が人待ちゼロで端末を“元の良い状態”へ復帰。

• 守り続ける：Tamper Protection で設定改ざんを不可に。Intune が例外も含めて一括管理。

• 語れる：KPI（ASR適用率 ≥ 95%、自動修復成功率 ≥ 85%、未調査アラート24h＝0）と監査証跡で、NIST/GDPR の言語でも説明可能。

• TCO最小化：パッチや教育を“頑張る”前に、脅威の入口そのものを消す。現場のクリック数と初動時間を確実に減らします。

【なぜ今、MDE P2なのか（ビジネス価値）】

• 被害の幅を縮める：ゼロデイを“当てられても被害が出ない”状態を、ASR + EDR Block が担保。

• 人手不足に強い：夜間・休日でも AIR が証拠採取→隔離→修復を自動進行。

• 監査に強い：Tamper による統制の不可逆化、Intune の一元ポリシー、Defender XDR / Sentinel の証跡で**「72 時間報告」**にも即応。

• 運用コスト圧縮：過検知・二重調査・手作業復旧を継続的に削減。短期は“鳴らない・止まる”、中期は“直る・残らない”。

【よくある課題（Problem）】

• 製品は入れたがASRがAuditのまま／例外が野放図

• EDR Block を無効にして“検知だけ”で放置

• AIRを未設定（夜間は実質無防備）

• Tamper OFF により設定ドリフトが発生

• Intune のリング運用が未整備、例外台帳の期限管理が不在

結論：ASR／EDR Block／AIR／Tamper／Intune の5点を一体運用し、KPIと証跡で管理するのが最短ルート。

【実装の芯（ASR／EDR Block／AIR／Tamper／Intune）】

2-1. ASR：攻撃面削減ルール（“実行”の入口を閉じる）

推奨：既定＝Block、例外は期限付き（理由・承認・自動失効をセット）

• Officeアプリの子プロセス生成をブロック

• Officeからの実行ファイル作成・コードインジェクションをブロック

• 難読化／疑わしいスクリプトをブロック

• ダウンロード由来コンテンツからの実行をブロック

• 資格情報窃取の抑止（LSA保護 含む）

• 信頼されないリムーバブルからの実行ブロック

• WMI／PowerShellの悪用シーケンス抑止（Audit→段階 Block）

運用ダイヤル

• Intune＞Endpoint security＞Attack surface reduction で ASR（Block） を標準配布

• 互換性が必要な LOB は Audit→Warn→Block のリングで段階移行

• “例外”は 30日自動失効、延長は CISO 承認

• KPI：ASR適用率 ≥ 95%（対象端末）／ASRブロック後の再感染ゼロ

2-2. EDR in block mode：検知を“防御”に昇格

• 他社 AV が主でも、MDE の EDR 判断で悪性振る舞いを強制阻止

• 攻撃後半（横展開・常駐・C2）を止め、未知系にも強い

• 推奨：全端末 ON。Defender AV が主なら併用でさらに堅牢

• KPI：EDR Block 有効端末＝100%／ブロック→隔離の中央値 ≤ 5分

2-3. AIR（Automated Investigation & Remediation）：“直す”を自動化

• High グループ＝Full（全自動）、一般＝Semi（承認後）

• 封じ込め→修復→再スキャン→証跡保管まで一直線

• KPI：自動修復成功率 ≥ 85%／人手レビュー待ち時間 -50%

2-4. Tamper Protection：設定とセンサーを「いじれない化」

• 悪意や誤操作からセキュリティ設定・サービス停止を保護

• Intune / Security Center から**一括 ON（100% カバレッジ）**が目標

• 例外禁止が基本。やむを得ない場合は時間限定・証跡必須

• KPI：Tamper = ON 100%／Tamper イベント = 0

2-5. Intune 連携：一元配布・例外の“メモリ管理”

• 配布：オンボーディング、ASR、EDR Block、SmartScreen、Network Protection をポリシー化

• 準拠判定：MDE リスク（高/中）＝不適合化 → Entra の CA で遮断

• 例外：理由・期限・承認・自動失効をポリシーコメントと台帳に残す

• リング：Pilot（5–10%）→ Broad（30–50%）→ All（100%）／Audit→Warn→Block

• KPI：準拠端末率 ≥ 95%／例外 期限切れ = 0／プラットフォーム最新率 ≥ 95%

【30/60/90日 ロードマップ（“早く・安全に・広く”）】

Day 0–30（基礎固め）

• Intune：ASR＝Audit、EDR Block = ON、Tamper = ON、Cloud-delivered = ON

• Network Protection = Block、SmartScreen = ON

• MDE オンボーディング完了、TVM 推奨を棚卸（優先：CVE スコア × 露出）

• KPIダッシュボード初版（ASR適用率／EDR Block／Tamper／AIR）

Day 31–60（本番化）

• ASR を Warn → Block へ引き上げ、LOB 例外は 30日限定

• AIR：役員・開発など High グループは Full に切替

• CA（Entra）：非準拠端末 → 高機密アプリ遮断 を有効化

• SOAR：高深刻度 → 自動隔離 → 初報ドラフト → 法務レビュー を直列に

Day 61–90（定着）

• 机上演習（TTX）：フィッシング→実行→横展開を ASR/EDR で刈る台本

• 例外台帳の借金残高を月次可視化、削減 OKR を設定

• 監査パッケージ初版（設定エクスポート／KPI出力／72h 初報テンプレ）完成

【KPIとダッシュボード（数字で“回す”）】

• ASR適用率 ≥ 95%（対象端末）

• Tamper = ON 100%

• EDR Block = ON 100%

• AIR 成功率 ≥ 85%

• 未調査アラート 24h = 0

• 既知悪性URLクリック率 ≤ 0.5%/月（MDO 併用時）

• 横展開封じ込め中央値 ≤ 15分

すべてのタイルに取得クエリと**証跡棚（保存先URI）**を紐づけ、「見た瞬間に掘れる」構成にします。

【監査・証跡（Evidence-first）】

• 設定エクスポート：ASR／EDR／Tamper／Network／Sample submission／Cloud-delivered

• AIR 調査・修復ログ：タイムライン／判断根拠／アクション履歴

• 隔離・復帰 監査：誰が・いつ・何を・どの端末に

• 例外台帳：理由・期限・承認・自動失効ログ

• 72h 初報テンプレ：時系列・影響範囲・暫定対策

• 品質基準：監査質問 → 証跡抽出 まで ≤ 10分

【役割別の響くメッセージ】

• 経営層：事故の確率ではなく被害の幅を縮める。**「15分で止め、分単位で可視化」**へ。

• 情シス／SOC：夜間に ASR が止め、AIR が直す。朝は KPI を見るだけ。

• 監査・法務：設定・隔離・修復・例外の出典が一元。10分で提示できます。

【よくある懸念への実務回答（FAQ 抜粋）】

Q. ASRで業務が止まらない？
A. リング運用 × Audit→Warn→Block で段階移行。LOB は 30日限定例外、延長は CISO承認。影響は Intune レポートで面管理。

Q. 既存AVがあるが、MDEは要る？
A. EDR in block mode は他社 AV 下でも攻撃の後半を止める。検知だけで“見送る”状況から脱出。

Q. 自動修復は怖くない？
A. 層別運用。重要端末は Semi（承認後）、閉域の標準端末は Full（全自動）。結果は証跡化され、ロールバックも設計。

Q. Tamper は“現場の工夫”を殺さない？
A. “工夫”が統制逸脱に化けるのを防ぐのが Tamper。時間限定・証跡必須で柔軟に吸収します。

【失敗パターンを先回りで潰す】

• ASR を一気に Block → 反発：リング × 段階移行で被害ゼロに

• EDR Block を様子見：先に ON。**「検知したのに止められない」**地獄を回避

• AIR を OFF：Semi → Full へ。夜間の待ち時間 = 攻撃者の時間

• Tamper OFF：設定は “守るべき資産”。最優先で ON

• 例外が雪だるま：30日自動失効 + 月次棚卸 + CISO承認で負債化を回避

【差分価値（価格ではなく“成果”で選ぶ）】

• 被害額の上限が下がる：ASR／EDR Block／AIR で“侵入後の最大被害”を縮小

• 人件費が戻る：AIR・Intune・ダッシュボードで再現作業を自動化

• 監査が副産物に：証跡設計で説明コストを最小化

• 取引先の安心：NIST/GDPR の言語で**「守れている」を説明**可能

【当事務所の提供価値（スポットで“芯だけ”を入れる）】

• 要件→設計→証跡を数字で一本線に

• リング運用／例外標準化／72h テンプレまでセット

• 30/60/90日での完成をコミット（※導入ベンダの作業とは別レイヤ）

• 納品は使い回し前提（KPIダッシュボード、監査パック、PRコピー）

KPI合意サンプル
ASR ≥ 95%｜Tamper = 100%｜EDR Block = 100%｜AIR ≥ 85%｜未調査24h = 0｜横展開 ≤ 15分

【Call to Action（次の一歩）】

• クイックアセスメント（60–90分）：ASR／EDR／Tamper／AIR／Intune の“穴”を 5点に要約

• PoC（2–3週間）：Pilot 100台で Audit → Block／AIR Semi → Full の差分効果を測定

• 本番化（30/60/90）：貴社ルールへ落とし込み、KPI と証跡で“回る”まで伴走

​

【付録：運用テンプレ】

• 日次 10分：Tamper=100%／未調査=0／ASR失敗イベントTop5／AIR自動修復サマリ

• 週次 30分：ASR Block率／EDR Block適用率／例外台帳（期限7日前リマインド）

• 月次 60分：KPIレビュー（結果KPI含む）／監査パック“10分提示”演習​」

​

​

参照→ブログ​

​

【参照リンク集】

• Attack surface reduction（ASR）
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction

• EDR in block mode
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode

• Automated investigation & remediation（AIR）
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigation-response

• Tamper Protection
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection

• Intune：ASR ポリシー（Windows）
  https://learn.microsoft.com/mem/intune/protect/endpoint-security-asr-policy-windows

• Intune × Defender for Endpoint（連携と準拠）
  https://learn.microsoft.com/mem/intune/protect/advanced-threat-protection

• Network Protection（Web/ネットワーク保護）
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/network-protection

• SmartScreen（エンドポイント）
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/smartscreen

• Threat & Vulnerability Management（TVM）
  https://learn.microsoft.com/microsoft-365/security/defender-endpoint/tvm

• Microsoft Sentinel 連携（MDE コネクタ）
  https://learn.microsoft.com/azure/sentinel/connect-windows-defender-advanced-threat-protection