IT エンジニア向けの Windows 10 関連の勉強用資料です。 Microsoft Defender ウイルス対策について 2020 年 7 月現在の情報を簡単にまとめています。 ngsymw10

1. IT エンジニアのための 流し読み Windows 10
Microsoft Defender ウイルス対策
2020 年 7 月
太田 卓也

2. 本資料について
企業の IT エンジニア向けの勉強資料として公開しています
Microsoft の正式見解であったり、内容をコミットするものではございません。
内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。
ただし、ビジネスでの使用はお控えください。m(_ _)m
太田 卓也 (オオタ タクヤ)
Microsoft のエンジニア
M365 Security & Compliance を担当 @takuyaot_ms
なかなか続かないけど、最近は Twitter で情報を

3. Microsoft Defender ウイルス対策 - もくじ
◼ 概要
◼ 管理方法
◼ 更新インフラ
◼ 構成
◼ まとめ

4. Microsoft Defender ウイルス対策

5. EPP : Endpoint Protection Platform
一般的に「ウイルス対策ソフト」 として認識されているもの
OS に常駐してファイルの挙動を監視・ブロックなどを行う
NGAV : Next Generation AV
「次世代型アンチウイルス」 と呼ばれる、プログラムの動作などを
見てウイルスの疑いがないかなどを検知する 「ふるまい検知」 や
AI ・機械学習の活用などを行い、これまでのウイルス対策の弱
点を新たな技術で補うもの。
以前は Defender はスパイウェアやウイルス対策を目的とした
製品でしたが、現在ではセキュリティ製品のシリーズ名に変更
Microsoft Defender シリーズ例 :
◼ Microsoft Defender ウイルス対策 (従来のウイルス対策)
◼ Microsoft Defender ファイアウォール (パーソナルファイウォール)
◼ Microsoft Defender SmartScreen (危険な Web サイトからの保護)
◼ Microsoft Defender Device Guard (標的型攻撃からのデバイス保護)
◼ Microsoft Defender Credential Guard (標的型攻撃からの資格情報保護)
◼ Microsoft Defender Application Guard (仮想ブラウザ)
◼ Microsoft Defender ATP (EDR をはじめとしたセキュリティ統合監視・管理)
ウイルス対策
Microsoft Defender
ウイルス対策
EDR + セキュリティ管理
Microsoft Defender
ATP
Defender シリーズを組み合わせてセキュリティを統合管理が可能
“Microsoft Defender ウイルス対策” は NGAV の機能も含む、
Windows OS 標準・無償の EPP / NGAV ソフトウェア
◼ 主にウイルスの特徴を記録したデータ (定義ファイル) を活用
◼ ファイルやプログラムの検査を行い、脅威の有無をチェック
◼ 脅威が見つかった場合には隔離や削除、ブロックを行う
5

6. ◼ 高度な機械学習モデル、および汎用的でヒューリスティッ
クなテクノロジ、クラウド型保護を利用して、未知のウイ
ルスもリアルタイムに検出
Windows 10、Windows Server 2016、Windows Server 2019 での
次世代の保護
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-
defender-antivirus/microsoft-defender-antivirus-in-windows-10
Windows 10 : [システム設定] – [ウイルスと脅威の防止]
6

7. 2004 2009 2010
Windows Defender AV の歴史 ～ Microsoft Defender AV へ ～
GIANT Company
Software の買収
2005 2006 2007
Windows Defender
(アンチスパイウェア)
Windows Defender ウイルス対策
(個人 / 法人向け無償アンチウイルス)
2008 201820122011 2017 20192015 201620142013 2020
Windows Live OneCare
(個人向け有償アンチウイルス + α)
Forefront Client Security
(法人向け有償アンチウイルス)
Microsoft Security Essential
(個人向け無償アンチウイルス)
Forefront Endpoint Protection
(法人向け有償アンチウイルス)
Windows Defender
(個人 / 法人向け無償アンチウイルス)
Microsoft AntiSpyware
(アンチスパイウェア)
Defender のシリーズ化
アンチウイルスの無償化
System Center Endpoint Protection
(法人向け有償アンチウイルス)
Defender の管理 /
レポート機能の提供
初のアンチウイルスのリリース
アンチスパイウェアのみだったのが
アンチウイルスと統合される
Windows Defender 全てが
Microsoft Defender に
Windows Defender ATP
(法人向け EDR)
EDR のリリース
※ AV では無いが、関連
が深い製品のために記載
Microsoft Defender ATP
(法人向け統合セキュリティ)
EDR を取り込み、統合セキュ
リティプラットフォームへ。マルチ
プラットフォーム対応や一部
OS 版では AV 機能を含む
7

8. Windows セキュリティアプリの Microsoft Defender ウイルス対策
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-
antivirus/microsoft-defender-security-center-antivirus
Microsoft Defender ウイルス対策 - ユーザーインタフェース
現在の脅威
検出された脅威の状況や、最後に実行したスキャン状況など
ウイルスと脅威の防止の更新
セキュリティ インテリジェンス (定義の更新) の更新状況
最新の更新プログラムのチェック
クイックスキャン
ユーザーによる手動実行でのスキャン
オプションによりクイックスキャンやフルスキャンなど選択可能
ウイルスと脅威の防止の設定
『リアルタイム保護』や『クラウド提供の保護』機能の有効化
サンプルの自動送信のオン / オフの設定など
8

9. ローカルの ML モデル、挙動ベースの検出
アルゴリズム、ジェネリックとヒューリスティック
(リアルタイム保護)
メタデータベースの ML モデル
(クラウド提供の保護)
サンプル分析ベースの ML モ
デル
デトネーション ベース
の ML モデル
ビックデータの
分析
クライアント ML
クラウド ML
階層型の機械学習モデルによる防御
ミリ秒単位の保護
一般的なマルウェアは高精度の検出機能
リアルタイム保護によってブロック
ミリ秒単位の保護
世界中のクライアントから送信されたメタデータに基づき、
ML を活用したクラウド ルールによって疑わしいファイルをブロック
秒単位の保護
疑わしいファイルのサンプルをアップロード後、
マルチクラス ML分類器によって検査
分の保護
疑わしいファイルをサンドボックス内で実行し、
マルチクラス ML 分類器によって動的に解析
時間単位の保護
ML モデルとエキスパートが作成したルールに基づき、
大規模なセンサーのネットワークシグナルの関連性を発見し、
脅威を自動で分類

10. 『クラウド配信の保護』 機能の動作イメージ
とある PC (PC 1) が
未知のウイルスに感染
感染した PC 1 は、自動的に
当該ファイル情報 (ハッシュ値) を
ウイルスとして Microsoft の脅威
情報に報告。
その後、別の PC (PC 2) が
同じファイルを受信。
ファイルを開くタイミングで、
最新の脅威情報を確認
PC 1 が報告した情報を基に、
PC 2 は定義の更新をしてなくても
ブロックが可能に。
定義ファイルの更新を待たなくてもブロックが可能、感染拡大を防ぐ仕組み
ウイルス
脅威情報
PC 1 PC 1 PC 2
脅威情報 脅威情報
Microsoft Defender ウイルス対策でクラウド配信の保護を利用して、次世代テクノロジを使用する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/utilize-microsoft-cloud-protection-microsoft-defender-antivirus
PC 2
10

11. Windows 10 では既定で Microsoft Defender ウイルス対策による保護が有効
11

12. Microsoft Defender ウイルス対策の優位性
Windows 標準搭載
Windows OS に搭載されており、OS バージョンアップなどの
互換性の問題が不要。パフォーマンスも最適化
膨大なセキュリティのビックデータの活用
Microsoft が保有する世界中のシグナルから得られるデータを活
用したセキュリティ インテリジェンスによる最新の脅威からの保護
最新のテクノロジーの活用
次世代型アンチウイルスとして、機械学習モデルや、定義ファイル
の更新に頼らない「クラウド保護機能」などの最新技術を利用
Microsoft 製品連携
既存の Microsoft 製品のインフラの活用が可能。AD のグループ
ポリシーや、PC 管理製品 (Configuration Manager, intune)
を介しての設定、Defender ATP を利用した監視が可能。
Intune の管理画面からの Microsoft Defender ウイルス対策の設定
12

13. ① 管理方法を選ぶ ② 更新インフラを選ぶ ③ 構成する
Microsoft Defender ウイルス対策 – 企業での管理
Configuration Manager
(要ライセンス)
オンプレミス
クラウド Defender ATP
(要ライセンス)
Microsoft Update
Configuration Manager
(要ライセンス)
WSUS
(要 CAL)
ファイル共有
Intune
(要ライセンス)
Azure Security Center
(要ライセンス)
※ Server のみ
Configuration Manager
(要ライセンス)
グループ ポリシー
PowerShell
Microsoft Defender ウイルス対策自体をクライアント PC で利用するのは無償
一方で企業が各 PC 上での管理やアラートの把握には有償ソリューションが必要
13
Intune
(要ライセンス)
Azure Security Center
(要ライセンス)
※ Server のみ
Azure Security Center
(要ライセンス)
※ Server のみ

14. Microsoft Defender ウイルス対策

15. Defender ATP
15

16. ウイルス対策のスキャンを実行する
対象となるデバイス上の Defender ウイルス対策のス
キャンをリモートで開始し、マルウェアを特定して修復
することができる。
Defender ウイルス対策の状態確認
Defender ウイルス対策の定義ファイルが、 7 日間以上
アップデートされていないとレポートおよびリスクとして加算。
また、停止や正常にレポートしていない場合に確認が可能。

17. Intune の管理画面 [デバイス] – [モニター] – [脅威エージェントの状態]
脅威エージェントの状態
Defender ウイルス対策のリアルタイム保護の
状況や AV エンジンや定義のバージョンなどの
ステータスを確認することが可能
Defender ウイルス対策により「ウイルスを検知した」
という旨のアラートの情報の出力やそれをメール通知
するといった機能は Intune にはありません。
このため、アラートを監視したい企業の場合には、
Defender ATP と合わせて導入検討をお勧めします
注意 : アラートについて

18. Windows Server のエンドポイントの保護
Windows Server のウイルス対策ソフトの有無や、
マルウェア検知におけるアラートの通知が可能。
Azure Security Center の 画面
サポートされているエンドポイント保護ソリューション
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-
services?tabs=features-windows#supported-endpoint-protection-solutions
◼ Windows Server 2016, 2019
OS 標準で Defender ウイルス対策が有効
◼ Windows Server 2008 R2, 2012, 2012 R2
Azure VM は Microsoft Antimalware を拡張機能で追加
オンプレミスは SCEP (System Center Endpoint Protection)

19. Configuration Manager - Endpoint Protection
設定
Microsoft Defender ウイルス対策の
設定一括管理
資産管理の一環として、企業向けマルウェア対策の一括管理も可能
レポート
アクティビティレポートや監視状況
Configuration Manager – Endpoint Protection
https://docs.microsoft.com/ja-jp/sccm/protect/deploy-use/endpoint-protection
19
アラート
検知のメールによる通知が可能

20. Microsoft Defender ウイルス対策

21. Defender ウイルス対策の更新管理
◼ 製品の更新
セキュリティ インテリジェンスの更新 (約 2 – 3 時間ごと)
以前は『定義の更新』と表記していた、いわゆるマルウェアのパターンファイルの更新
頻度は決まっていないが、現在では 2 - 3 時間に 1 度リリースされている
サイズは差分更新になり、1 回の差分であれば、0.5 – 1 MB 程度、一週間置くと 10 MB 程度の形で増加
「Microsoft Defender Antivirus のセキュリティ インテリジェンス更新プログラム」
現在では以下の 2 種類を提供
製品の更新 (毎月)
パフォーマンスの向上や、保守性の向上、クラウドなどとの統合に関するもの
毎月の更新プログラムとしてリリースされている
サイズは、現在は 10 MB 程度
「Windows Defender Antivirus マルウェア対策プラットフォームの更新プログラム」
21
Microsoft Defender のウイルス対策更新プログラムを管理し、ベースラインを適用する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/manage-updates-baselines-microsoft-defender-antivirus

22. Microsoft Defender ウイルス対策の更新
Microsoft Update を利
用して、自動更新を行う
Configuration ManagerMicrosoft Update
PC の資産管理製品 (
Microsoft Endpoint
Configuration Manager)
を利用して配布
WSUS ファイル共有 MMPC
Microsoft マルウェアプロ
テクションセンターからファイ
ルをダウンロード
Windows Server の更新プ
ログラム管理機能
(Windows Server Update
Services) にて Defender
の更新プログラムも管理
ネットワークファイル共有を
利用し、クライアントはファイ
ル共有として配置したセ
キュリティ インテリジェンスの
更新を取得。
Microsoft Defender ウイルス対策保護の更新プログラムのソースを管理する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/manage-protection-updates-microsoft-defender-antivirus
22

23. Microsoft Defender ウイルス対策

24. グループポリシー設定を使用して Microsoft Defender ウイルス対策を構成および管理する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/use-group-policy-microsoft-defender-antivirus
Microsoft Defender ウイルス対策の構成
構成項目例 設定例
クライアント インターフェイス 通知を非表示にする。
ユーザーインターフェイスを操作したりできないようにする
除外 特定の拡張子・パス・プロセスを除外する
クラウド保護 クラウド保護を有効にする。
クラウドの保護レベルを設定する。
スキャン スキャンを実行する時刻を指定する。
スキャンごとの CPU 使用率の制限をする。
リアルタイム保護 リアルタイム保護を有効にする。
メールをスキャンする。
修復 検疫済みマルウェアを保持する日数
サンプルを送信する
セキュリティインテリジェンスの更新 セキュリティインテリジェンスの更新をチェックする間隔を指定する
定義ファイルの更新のソースと順序を設定する
24

25. Microsoft Defender ウイルス対策の構成および管理
Active Directory のグルー
プ ポリシーを利用して各ク
ライアントへ設定
グループポリシー設定を使用して
Microsoft Defender ウイルス
対策を構成および管理する
Configuration Manager
Azure Cloud Services および
Virtual Machines 向け
Microsoft マルウェア対策
グループ ポリシー
PC の資産管理製品 (
Microsoft Endpoint
Configuration Manager)
を利用して構成・管理
PowerShell intune Azure Security Center
Azure Security Center
や Azure VM 作成時に設
定を実施
各端末上にて PowerShell
のコマンドを実行して設定を
実施
モバイルデバイス管理製品
(intune) を利用して構成・
管理
Configuration Manager で
Endpoint Protection 用にマル
ウェア対策ポリシーを作成し展開す
る方法
PowerShell コマンドレットを使用
して Microsoft Defender ウイル
ス対策を構成および管理する
Microsoft Intune の Windows
10 Microsoft Defender ウイルス
対策ポリシーの設定
対象 : 全ての Windows 対象 : 全ての Windows 対象 : 全ての Windows 対象 : Windows 10
※ macOS (Defender ATP)
対象 : Windows Server
25

26. Microsoft Defender ウイルス対策

27. Microsoft Defender ウイルス対策の優位性
Windows 標準搭載
Windows OS に搭載されており、OS バージョンアップなどの
互換性の問題が不要。パフォーマンスも最適化
膨大なセキュリティのビックデータの活用
Microsoft が保有する世界中のシグナルから得られるデータを活
用したセキュリティ インテリジェンスによる最新の脅威からの保護
最新のテクノロジーの活用
次世代型アンチウイルスとして、機械学習モデルや、定義ファイル
の更新に頼らない「クラウド保護機能」などの最新技術を利用
Microsoft 製品連携
既存の Microsoft 製品のインフラの活用が可能。AD のグループ
ポリシーや、PC 管理製品 (Configuration Manager, intune)
を介しての設定、Defender ATP を利用した監視が可能。
Intune の管理画面からの Microsoft Defender ウイルス対策の設定
27

28. クライアント ライセンス 展開 構成 レポート・管理
Windows 10
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Microsoft Intune*1
Windows 8.1
Windows 7
Configuration Manager
With
Endpoint Protection
Configuration Manager ◼ Configuration Manager
◼ Microsoft Defender ATP
◼ Configuration Manager
Windows Server 1803
Windows Server 2019
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2016
OS 標準
(ライセンス不要)
OS 標準
(インストール済み)
◼ Configuration Manager
◼ Group Policies
◼ PowerShell
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2012 R2
Configuration Manager
With
Endpoint Protection
Configuration Manager
◼ Configuration Manager
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
Windows Server 2012
Windows Server 2008 R2
Configuration Manager
With
Endpoint Protection
Configuration Manager
◼ Configuration Manager
◼ Azure Security Center
◼ Microsoft Defender ATP
◼ Configuration Manager
◼ Azure Security Center
*1 Microsoft Intune もしくは、Microsoft Endpoint Manager Admin Center で コンプライアンス ポリシーによるウィルス対策の適合状況の確認のみ可能
Microsoft Defender ウイルス対策 - 展開・管理手段
28

29. Microsoft Defender ウイルス対策のサポート
29
検体の調査 (無償)
Submit a file for malware analysis – 無償で利用が可能な Web サイト
https://www.microsoft.com/en-us/wdsi/filesubmission
プロフェッショナル サポート – 1 インシデント単位で購入・契約
https://www.microsoft.com/ja-jp/services/professional.aspx
エンタープライズ向け Premier サポート – 製品問わず、すべてのサポートを会社単位で契約ス
https://www.microsoft.com/ja-jp/services/premier.aspx
マルウェアが検知された場合には、以下のサイトに検体を Submit で分析が可能。
製品サポート (有償)
Microsoft Defender ウイルス対策のサポートに関しては、以下のサポートサービスの利用が可能
検知ファイルの真偽判定につきましては、上記プロフェッショナルサポートや Premier サポート契約でも可能
検知ファイルの判定までであれば基本的には契約内で無償で対応が可能
感染経路の特定、影響、対策などにつきましては基本は Premier サポートが必要。
29

30. 4分でわかる！Windows Defender ATP 機能紹介編
https://youtu.be/tC6wnVI3ziA
8分でわかる！ Windows Defender ウィルス対策
https://youtu.be/QDzZan8sr_4
Microsoft Defender ATP
Microsoft Defender ウイルス対策
4分でわかる！EDR と Windows Defender ATP 概要編
https://youtu.be/FED9QFOrvN4
4分でわかる！Windows Defender ATP 特徴・構成編
https://youtu.be/JmU93Dyn5k0
短時間でポイントが確認できますので、よろしければ参考にしてください。
30

31. IT エンジニアのための 流し読み Windows 10
Microsoft Defender ウイルス対策
END
太田 卓也
https://twitter.com/takuyaot_ms