Windows VMのMicrosoft Defender for Endpointとエンドポイントプロテクションの設定について

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Windows VMインスタンスでエンドポイントプロテクションが有効化されていない問題について、リスクと対策を解説します。

ポリシーの説明

Windows仮想マシンにおけるエンドポイントプロテクションは、マルウェア、ウイルス、その他の悪意のある脅威からシステムを保護する重要なセキュリティレイヤーです。

本ポリシーは、すべてのWindows VMインスタンスでMicrosoft Defender for Endpoint（MDE）、Microsoft Antimalware、または互換性のあるサードパーティ製エンドポイントプロテクションソリューション（CrowdStrike、SentinelOne、Trend Microなど）が適切に導入され、最新の状態で稼働しているかを確認します。

Azureでは、Microsoft Defender for Cloudと統合することで、EDR（Endpoint Detection and Response）、脅威ハンティング、自動修復などの高度な機能を利用できます。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、Windows VMでMicrosoft Defenderを有効化します。

Azure Portalにログイン
- https://portal.azure.com にアクセスし、管理者権限を持つアカウントでログインします。
Microsoft Defender for Cloudの有効化（未設定の場合）
- 左側のメニューから「Microsoft Defender for Cloud」を選択
- 「環境設定」→「Defenderプラン」を選択
- 以下のプランを有効化：
  - Defender for Servers Plan 2: EDR、脅威ハンティング、脆弱性スキャン含む
  - Defender for Endpoint: エンタープライズレベルのEDR機能
- 「保存」をクリック
対象VMの選択
- 「仮想マシン」サービスに移動
- エンドポイントプロテクションを設定したいWindows VMを選択
拡張機能の追加
- VMの詳細画面で左側メニューから「拡張機能 + アプリケーション」を選択
- 「+ 追加」をクリック
- 以下の拡張機能から選択：
  - Microsoft Antimalware: 基本的なアンチマルウェア保護
  - MDE.Windows: Microsoft Defender for Endpoint（推奨）
  - AzureMonitorWindowsAgent: ログ収集と監視用
除外設定（慎重に設定）
- 除外設定はセキュリティリスクを高めるため、最小限に：
  - ファイルパスの除外：
    - SQL Serverデータファイル：D:\SQLData\*.mdf, D:\SQLData\*.ldf
    - IISログ：C:\inetpub\logs\LogFiles\
  - 拡張子の除外：
    - データベース：.mdf, .ldf, .ndf
    - 仮想ハードディスク：.vhd, .vhdx
  - プロセスの除外：
    - SQL Server: sqlservr.exe
    - Exchange: msexchangetransport.exe
- すべての除外設定は文書化し、定期的に見直し
定義ファイルの自動更新設定
- 「自動更新を有効にする」にチェック
- 更新間隔：1時間ごと（Microsoft推奨）
- フォールバックソース：Windows Updateを指定
拡張機能のインストール
- 「確認および作成」をクリック
- 設定内容を確認し、「作成」をクリック
- インストールが完了するまで待機（通常5-10分）
- VMの再起動が必要な場合があるため、メンテナンスウィンドウで実施