7. 2004 2009 2010
Windows Defender AV の歴史 ~ Microsoft Defender AV へ ~
GIANT Company
Software の買収
2005 2006 2007
Windows Defender
(アンチスパイウェア)
Windows Defender ウイルス対策
(個人 / 法人向け無償アンチウイルス)
2008 201820122011 2017 20192015 201620142013 2020
Windows Live OneCare
(個人向け有償アンチウイルス + α)
Forefront Client Security
(法人向け有償アンチウイルス)
Microsoft Security Essential
(個人向け無償アンチウイルス)
Forefront Endpoint Protection
(法人向け有償アンチウイルス)
Windows Defender
(個人 / 法人向け無償アンチウイルス)
Microsoft AntiSpyware
(アンチスパイウェア)
Defender のシリーズ化
アンチウイルスの無償化
System Center Endpoint Protection
(法人向け有償アンチウイルス)
Defender の管理 /
レポート機能の提供
初のアンチウイルスのリリース
アンチスパイウェアのみだったのが
アンチウイルスと統合される
Windows Defender 全てが
Microsoft Defender に
Windows Defender ATP
(法人向け EDR)
EDR のリリース
※ AV では無いが、関連
が深い製品のために記載
Microsoft Defender ATP
(法人向け統合セキュリティ)
EDR を取り込み、統合セキュ
リティプラットフォームへ。マルチ
プラットフォーム対応や一部
OS 版では AV 機能を含む
7
8. Windows セキュリティアプリの Microsoft Defender ウイルス対策
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-
antivirus/microsoft-defender-security-center-antivirus
Microsoft Defender ウイルス対策 - ユーザーインタフェース
現在の脅威
検出された脅威の状況や、最後に実行したスキャン状況など
ウイルスと脅威の防止の更新
セキュリティ インテリジェンス (定義の更新) の更新状況
最新の更新プログラムのチェック
クイックスキャン
ユーザーによる手動実行でのスキャン
オプションによりクイックスキャンやフルスキャンなど選択可能
ウイルスと脅威の防止の設定
『リアルタイム保護』や『クラウド提供の保護』機能の有効化
サンプルの自動送信のオン / オフの設定など
8
9. ローカルの ML モデル、挙動ベースの検出
アルゴリズム、ジェネリックとヒューリスティック
(リアルタイム保護)
メタデータベースの ML モデル
(クラウド提供の保護)
サンプル分析ベースの ML モ
デル
デトネーション ベース
の ML モデル
ビックデータの
分析
クライアント ML
クラウド ML
階層型の機械学習モデルによる防御
ミリ秒単位の保護
一般的なマルウェアは高精度の検出機能
リアルタイム保護によってブロック
ミリ秒単位の保護
世界中のクライアントから送信されたメタデータに基づき、
ML を活用したクラウド ルールによって疑わしいファイルをブロック
秒単位の保護
疑わしいファイルのサンプルをアップロード後、
マルチクラス ML分類器によって検査
分の保護
疑わしいファイルをサンドボックス内で実行し、
マルチクラス ML 分類器によって動的に解析
時間単位の保護
ML モデルとエキスパートが作成したルールに基づき、
大規模なセンサーのネットワークシグナルの関連性を発見し、
脅威を自動で分類
10. 『クラウド配信の保護』 機能の動作イメージ
とある PC (PC 1) が
未知のウイルスに感染
感染した PC 1 は、自動的に
当該ファイル情報 (ハッシュ値) を
ウイルスとして Microsoft の脅威
情報に報告。
その後、別の PC (PC 2) が
同じファイルを受信。
ファイルを開くタイミングで、
最新の脅威情報を確認
PC 1 が報告した情報を基に、
PC 2 は定義の更新をしてなくても
ブロックが可能に。
定義ファイルの更新を待たなくてもブロックが可能、感染拡大を防ぐ仕組み
ウイルス
脅威情報
PC 1 PC 1 PC 2
脅威情報 脅威情報
Microsoft Defender ウイルス対策でクラウド配信の保護を利用して、次世代テクノロジを使用する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/utilize-microsoft-cloud-protection-microsoft-defender-antivirus
PC 2
10
12. Microsoft Defender ウイルス対策の優位性
Windows 標準搭載
Windows OS に搭載されており、OS バージョンアップなどの
互換性の問題が不要。パフォーマンスも最適化
膨大なセキュリティのビックデータの活用
Microsoft が保有する世界中のシグナルから得られるデータを活
用したセキュリティ インテリジェンスによる最新の脅威からの保護
最新のテクノロジーの活用
次世代型アンチウイルスとして、機械学習モデルや、定義ファイル
の更新に頼らない「クラウド保護機能」などの最新技術を利用
Microsoft 製品連携
既存の Microsoft 製品のインフラの活用が可能。AD のグループ
ポリシーや、PC 管理製品 (Configuration Manager, intune)
を介しての設定、Defender ATP を利用した監視が可能。
Intune の管理画面からの Microsoft Defender ウイルス対策の設定
12
13. ① 管理方法を選ぶ ② 更新インフラを選ぶ ③ 構成する
Microsoft Defender ウイルス対策 – 企業での管理
Configuration Manager
(要ライセンス)
オンプレミス
クラウド Defender ATP
(要ライセンス)
Microsoft Update
Configuration Manager
(要ライセンス)
WSUS
(要 CAL)
ファイル共有
Intune
(要ライセンス)
Azure Security Center
(要ライセンス)
※ Server のみ
Configuration Manager
(要ライセンス)
グループ ポリシー
PowerShell
Microsoft Defender ウイルス対策自体をクライアント PC で利用するのは無償
一方で企業が各 PC 上での管理やアラートの把握には有償ソリューションが必要
13
Intune
(要ライセンス)
Azure Security Center
(要ライセンス)
※ Server のみ
Azure Security Center
(要ライセンス)
※ Server のみ
18. Windows Server のエンドポイントの保護
Windows Server のウイルス対策ソフトの有無や、
マルウェア検知におけるアラートの通知が可能。
Azure Security Center の 画面
サポートされているエンドポイント保護ソリューション
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-
services?tabs=features-windows#supported-endpoint-protection-solutions
◼ Windows Server 2016, 2019
OS 標準で Defender ウイルス対策が有効
◼ Windows Server 2008 R2, 2012, 2012 R2
Azure VM は Microsoft Antimalware を拡張機能で追加
オンプレミスは SCEP (System Center Endpoint Protection)
27. Microsoft Defender ウイルス対策の優位性
Windows 標準搭載
Windows OS に搭載されており、OS バージョンアップなどの
互換性の問題が不要。パフォーマンスも最適化
膨大なセキュリティのビックデータの活用
Microsoft が保有する世界中のシグナルから得られるデータを活
用したセキュリティ インテリジェンスによる最新の脅威からの保護
最新のテクノロジーの活用
次世代型アンチウイルスとして、機械学習モデルや、定義ファイル
の更新に頼らない「クラウド保護機能」などの最新技術を利用
Microsoft 製品連携
既存の Microsoft 製品のインフラの活用が可能。AD のグループ
ポリシーや、PC 管理製品 (Configuration Manager, intune)
を介しての設定、Defender ATP を利用した監視が可能。
Intune の管理画面からの Microsoft Defender ウイルス対策の設定
27
28. クライアント ライセンス 展開 構成 レポート・管理
Windows 10
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Microsoft Intune*1
Windows 8.1
Windows 7
Configuration Manager
With
Endpoint Protection
Configuration Manager ◼ Configuration Manager
◼ Microsoft Defender ATP
◼ Configuration Manager
Windows Server 1803
Windows Server 2019
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2016
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2012 R2
Configuration Manager
With
Endpoint Protection
Configuration Manager
◼ Configuration Manager
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2012
Windows Server 2008 R2
Configuration Manager
With
Endpoint Protection
Configuration Manager
◼ Configuration Manager
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
*1 Microsoft Intune もしくは、Microsoft Endpoint Manager Admin Center で コンプライアンス ポリシーによるウィルス対策の適合状況の確認のみ可能
Microsoft Defender ウイルス対策 - 展開・管理手段
28
29. Microsoft Defender ウイルス対策のサポート
29
検体の調査 (無償)
Submit a file for malware analysis – 無償で利用が可能な Web サイト
https://www.microsoft.com/en-us/wdsi/filesubmission
プロフェッショナル サポート – 1 インシデント単位で購入・契約
https://www.microsoft.com/ja-jp/services/professional.aspx
エンタープライズ向け Premier サポート – 製品問わず、すべてのサポートを会社単位で契約ス
https://www.microsoft.com/ja-jp/services/premier.aspx
マルウェアが検知された場合には、以下のサイトに検体を Submit で分析が可能。
製品サポート (有償)
Microsoft Defender ウイルス対策のサポートに関しては、以下のサポートサービスの利用が可能
検知ファイルの真偽判定につきましては、上記プロフェッショナルサポートや Premier サポート契約でも可能
検知ファイルの判定までであれば基本的には契約内で無償で対応が可能
感染経路の特定、影響、対策などにつきましては基本は Premier サポートが必要。
29
30. 4分でわかる!Windows Defender ATP 機能紹介編
https://youtu.be/tC6wnVI3ziA
8分でわかる! Windows Defender ウィルス対策
https://youtu.be/QDzZan8sr_4
Microsoft Defender ATP
Microsoft Defender ウイルス対策
4分でわかる!EDR と Windows Defender ATP 概要編
https://youtu.be/FED9QFOrvN4
4分でわかる!Windows Defender ATP 特徴・構成編
https://youtu.be/JmU93Dyn5k0
短時間でポイントが確認できますので、よろしければ参考にしてください。
30
31. IT エンジニアのための 流し読み Windows 10
Microsoft Defender ウイルス対策
END
太田 卓也
https://twitter.com/takuyaot_ms