【完全版｜Defender for Endpoint（MDE P2）実装】

— ASR／EDR Block／AIR／Tamper／Intuneで、“回るセキュリティ”を最短で

要約（エグゼクティブ 90秒）

• 止める：ASRで未知の実行とOffice悪用を先回りブロック。EDR in block modeが他社AV下でも実害を止める。

• 直す：AIR（自動調査・自動修復）が人待ちゼロで端末を“元の良い状態”へ。

• 守り続ける：Tamper Protectionで設定改ざんを不可に。Intuneが例外も含めて一括管理。

• 語れる：KPI（ASR適用率≥95%、自動修復成功率≥85%、未調査アラート24h=0）と監査証跡で、NIST/GDPRとも整合。

• コストと速度：パッチや教育を“頑張る”前に脅威の入口そのものを消す。現場のクリック数と初動時間が確実に減ります。

1. なぜ今、MDE P2なのか（ビジネス価値の言語で）

• ゼロデイを“当てられても被害が出ない”状態を作るのがASR＋EDR Block。攻撃連鎖の**初手（ダウンロード→実行→横展開）**を刈り取ります。

• 人手不足に強い：AIRが“夜中・休日”でも証拠採取→隔離→修復を自動。SOCや情シスの時間を取り戻す。

• 監査に強い：Tamperによる統制の不可逆化、Intuneの一元ポリシー、Defender XDR/Sentinelの証跡で、「72時間報告」や社内監査の質問に10分で答えられる。

• TCO最小化：過検知・二重調査・手作業の復旧コストを恒常的に圧縮。短期は“鳴らない・止まる”、中期は“直る・残らない”。

2. 実装の芯（ASR／EDR Block／AIR／Tamper／Intune）

2-1. ASR：攻撃面削減ルール（“実行”の入口を閉じる）

推奨：既定＝Block／例外は期限付き（理由・承認・失効をセットで）

• Officeアプリの子プロセス生成をブロック

• Officeからの実行ファイル作成・コードインジェクションをブロック

• 難読化／疑わしいスクリプトをブロック

• ダウンロード由来コンテンツからの実行をブロック

• LSA保護を含む資格情報窃取の防止

• USBなど信頼されないリムーバブルからの実行ブロック

• WMI／PSの悪用シーケンス抑止（監査→段階Block）

運用ダイヤル

• Intune＞Endpoint security＞Attack surface reductionで“ASRルール（Block）”ポリシーを標準配布。

• 互換性が必要なLOBはAudit→Warn→Blockのリングで段階移行。

• “例外”は30日自動失効、延長はCISO承認。

KPI：ASR適用率≥95%（対象端末）、ASRによるブロック→再感染ゼロ。

2-2. EDR in block mode：検知を“防御”に昇格

• 他社AVが主でも、MDEのEDR判断で悪性振る舞いを強制阻止。

• 攻撃後半（横展開・常駐・C2）の阻止力が増し、未知系にも強い。

• 推奨：全端末ON。Defender AVが主なら併用でさらに強固。

KPI：EDR Block有効端末＝100%、ブロック→隔離までの中央値**≤ 5分**。

2-3. AIR：Automated Investigation & Remediation（“直す”を自動化）

• Highグループ＝Full（全自動）、一般＝**Semi（承認後）**で運用。

• 結果は調査グラフ・証跡として残り、再発防止の材料に。

• 封じ込め→修復→再スキャン→証跡保管まで一直線。

KPI：自動修復成功率**≥85%、人手レビューまでの平均待ち時間-50%**。

2-4. Tamper Protection：設定とセンサーをいじれない化

• 悪意や誤操作からセキュリティ設定・サービス停止を保護。

• Intune/Security Center から一括ON（**100%**カバレッジが目標）。

• 例外禁止が基本。やむを得ない場合は時間限定・証跡必須。

KPI：Tamper＝ON 100%、Tamperイベント**= 0**。

2-5. Intune連携：一元配布・例外の“メモリ管理”

• 配布：オンボーディング、ASR、EDR Block、SmartScreen、Network Protection をポリシー化。

• 準拠判定：MDEリスクスコア（高/中）で端末を不適合化→CAで遮断。

• 例外：理由・期限・承認・自動失効をポリシーコメントと台帳に残す。

• リング運用：Pilot（5–10%）→Broad（30–50%）→All（100%）の3段で、Audit→Warn→Block。

KPI：準拠端末率**≥95%、例外の期限切れ=0**、プラットフォーム最新率**≥95%**。

3. 30/60/90日 ロードマップ（“早く・安全に・広く”）

Day 0–30（基礎固め）

• IntuneでASR（Audit）, EDR Block=ON, Tamper=ON, Cloud-delivered=ON。

• Network Protection=Block、SmartScreen=ON。

• MDEオンボーディング完了、TVMの推奨を棚卸（優先：CVEスコア×露出）。

• KPIダッシュボード初版（ASR適用率、EDR Block、Tamper、AIR）。

Day 31–60（本番化）

• ASRをWarn→Blockへ引き上げ、LOB例外は30日限定で許可。

• AIR：役員・開発などHighグループはFullに切替。

• CA（Entra）で**“非準拠端末＝高機密アプリ遮断”**を有効化。

• SOAR：高深刻度→自動隔離→初報ドラフト→法務レビューの直列動線を完成。

Day 61–90（定着）

• 机上演習（フィッシング→実行→横展開をASR/EDRで刈る台本）。

• 例外台帳の借金残高を月次で可視化、削減OKRを設定。

• 監査パッケージ初版（設定エクスポート／KPI出力／72hテンプレ）完成。

4. 役割別の“響く”メッセージ（PR要点）

経営層向け

• 事故の確率ではなく被害の幅を縮めます。ASRで入口が消え、EDR BlockとAIRで広がらずに戻る。

• 「72時間で報告」ではなく「15分で止め、分単位で可視化」へ。人件費と評判コストに効きます。

情シス／SOC向け

• 夜間にASRが止め、AIRが直す。朝はKPIで結果確認。誤検知はAlert Tuningで静かで鋭く。

• Intune一元管理で“誰かが設定を触った”問題をTamperで遮断。

監査・法務向け

• 証跡第一。設定・隔離・修復・例外の出典が1か所に集約。10分で提示できます。

• NIST/GDPRの技術・組織的措置をKPIとRunbookで裏づけます。

5. KPIとダッシュボード（数字で“回す”）

• ASR適用率 ≥ 95%（対象端末）

• Tamper Protection ON = 100%

• EDR Block ON = 100%

• AIR成功率 ≥ 85%

• 未調査アラート 24h = 0

• 既知悪性URLクリック率 ≤ 0.5%/月（MDO併用時）

• 横展開封じ込め中央値 ≤ 15分

6. 監査・証跡（Evidence-first）

• 設定エクスポート：ASR/EDR/Tamper/Network/Sample submission/Cloud-delivered。

• AIRの調査・修復ログ：タイムライン、判断根拠、アクション履歴。

• 隔離・復帰の監査：誰が・いつ・何を・どの端末に。

• 例外台帳：理由・期限・承認・自動失効ログ。

• 72h初報テンプレ：埋め込み例（時系列・影響範囲・暫定対策）。

品質基準：監査質問→証跡抽出まで**≤10分**。

7. よくある懸念への実務回答（PR用Q&A）

Q. ASRで業務が止まらない？A. リング運用×Audit→Warn→Blockで段階移行。LOBは30日限定例外。例外延長はCISO承認。影響はIntuneのレポートで面管理できます。

Q. 既存AVがあるが、MDEは要る？A. EDR in block modeは他社AV下でも攻撃の後半を止める。攻撃連鎖をもう一段、深い層で遮断します。

Q. 自動修復は怖くない？A. 層別します。重要端末は承認後、閉域の標準端末は全自動。結果は可逆で証跡が残るため、監査的にも安全です。

Q. Tamperは“現場の工夫”を殺さない？A. “工夫”が統制逸脱に化けるのを防ぐのがTamper。例外は時間限定・証跡必須で柔軟に吸収します。

8. 技術ディテール（抜粋・現場メモ）

• ASR 配布：Intune＞Endpoint security＞Attack surface reduction／プラットフォーム=Windows 10/11。既定Block。

• EDR Block：MDE設定でON。他社AV併用可。サーバーは対応バージョンを確認して段階適用。

• AIR レベル：デバイスグループごとにFull／Semiを割当。

• Tamper：テナントでON、デバイスで強制。ローカル管理者の停止を不可に。

• Intune 準拠：MDEリスク“中以上は不適合”。Entra CAで高機密アプリ遮断へ接続。

9. ストーリーで訴求（PRコピー素材）

• クリックが犯罪にならない会社へ。— ASRが“実行”を許さない。

• 見つけるEDRから、止めるEDRへ。— EDR in block mode。

• 夜中でも、現場は前に進む。— AIRが黙って直す。

• 触れない設定、破れない統制。— Tamper Protection。

• 例外は悪ではない。設計されない例外が悪だ。— Intuneで時間・理由・失効まで。

10. 事例の型（匿名テンプレ）

• A社（製造 3,000端末）：ASR Block移行で悪性実行-72%、EDR Blockで横展開ゼロ。AIRで平均復旧-43%。

• B社（金融 8,500端末）：Tamper=100%達成で設定ドリフト消滅。監査所要**-65%**。

• C社（流通 1,200端末）：Intune準拠×CA連動で非準拠端末の高機密アクセス=0。

11. 失敗パターンを先回りで潰す（PRの裏付け）

• ASRを一気にBlock→反発：リング×段階移行で被害ゼロ。

• EDR Blockを“様子見”：先にON。実害を“検知したのに止められない”地獄から脱出。

• AIRをOFFのまま：Semi→Fullへ。夜間の待ち時間が攻撃者の時間です。

• TamperがOFF：設定は**“守るべき資産”**。最優先でON。

• 例外が雪だるま：30日自動失効＋月次棚卸＋CISO承認で負債化を回避。

12. 価格ではなく“差分価値”で選ぶべき理由

• 被害額の上限が下がる：ASR/EDR Block/AIRで“侵入後の最大被害”が小さくなる。

• 人件費が戻る：AIR・Intune・ダッシュボードで再現作業を自動化。

• 監査が副産物になる：証跡設計で説明コストゼロに近づく。

• 取引先の安心：NIST/GDPRの言語で**“守れている”を証明**できる。

13. 当事務所の提供価値（スポットで“芯だけ”を入れる）

• 要件→設計→証跡の一本線を“数字で”引き切ります。

• リング運用・例外標準化・72hテンプレまでセット。

• 30/60/90日での完成をコミット（※導入ベンダの作業とは別レイヤ）。

• 資料は使い回せる形（KPIダッシュボード、監査パック、PRコピー）で納品。

KPI合意サンプル

• ASR適用率≥95%｜Tamper=100%｜EDR Block=100%｜AIR≥85%｜未調査24h=0｜横展開≤15分

14. Call to Action（次の一歩）

• 無償クイックアセスメント（60–90分）：現状のASR/EDR/Tamper/AIR/Intuneの“穴”を5つに要約。

• PoC（2–3週間）：Pilot 100台でAudit→Block／AIR Semi→Fullまでの差分効果を測定。

• 本番化（30/60/90）：貴社ルールへ落とし込み、KPIと証跡で“回る”まで伴走。

付録：運用テンプレ（そのまま使える）

日次10分：Tamper=100%／未調査=0／ASR失敗イベントTop5／AIR自動修復サマリ週次30分：ASR Block率／EDR Block適用率／例外台帳（期限7日前リマインド）月次60分：KPIレビュー（結果KPI含む）／監査パック“10分提示”演習

最後に

ASRが“実行”を奪い、EDRが“広がり”を奪い、AIRが“時間”を奪い返す。Tamperが“統制”を固め、Intuneが“例外”を飼いならす。この5点を数字と証跡で縦串にすれば、MDE P2は**“導入した製品”から“回る仕組み”**に変わります。