目次
1.そもそもMDEのマルウェア検知・復元とは?
Microsoft Defender for Endpoint(MDE)は、企業のPCをサイバー攻撃から守る次世代のセキュリティシステムです。
従来のセキュリティ対策では、ウイルスを検知してもログが断片化しており、管理者が手動で状況を調査・対応しなければならず、IT担当者に大きな負担がかかっていました。しかし、MDEを導入することでこの状況が劇的に変わります。
万が一PCがマルウェアに感染しそうになった際、システムが自動でそれを検知し、即座に安全な場所へ隔離します。例えるなら、「怪しい侵入者(=マルウェア)を見つけたら、自動で捕まえて専用の牢屋(=検疫フォルダ)に閉じ込める」ようなものです。
さらに、もしそれが「本当は安全なファイルだった(誤検知)」と分かった場合は、管理者が自分のPCから遠隔操作で「牢屋から出して元の場所に戻す(=復元)」という強力な機能も持っています。
2.どんな時にこの検証・設定を行うのか?
社内にMDEを本格導入する前に、「本当にウイルスを自動で隔離してくれるのか?」「もし誤検知だった場合、管理者は遠隔で迷わずファイルを元に戻せるのか?」という実際の運用フローを社内で確認・確立するときに行います。
今回は世界基準のテスト用マルウェアファイル(EICAR)を検証用のPCで実行し、管理画面から無事に復元できるかテストを行いました。
3.実際あった事例(マルウェア検証編)
問題 :
検証用PCをシステムに登録し、マルウェアが自動隔離された後に管理者が手動で復元できるよう「デバイスグループ」を設定しようとしました。しかし、対象のPCがグループのプレビュー画面に「一致するデバイスはありません」と表示されてしまい、設定が先に進まなくなりました。
原因 :
デバイスグループの作成画面で、PCの名前だけでなく「ドメイン」や「OS」といった条件の入力欄(空欄の行)を残したままにしていたことが原因でした。システムが「空欄も含めてすべての条件を満たさなければならない」という厳しいAND条件として判定してしまい、検証用PCが検索にヒットしなくなっていました。
解決策:
条件の指定画面で、不要な空欄の行を右端の「-」ボタンで全て削除し、「名前が検証機と等しい」という1行だけのシンプルな設定に修正しました。これにより無事にPCが認識され、その後の「ウイルス検知 ➔ 自動隔離 ➔ 管理者による遠隔承認 ➔ ファイルの自動復元」までの一連のフローを無事に成功させることができました。
4.マルウェア検知から遠隔復元までの一連の手順
ここからは、実際に成功させた検証の全手順をステップバイステップで解説します。
1.「システム」-「設定」-「エンドポイント」をクリックします。
2.「オンボーディング」を開きます、「Windows」をクリックして「Windows10とWindows11」を選択します。
3.「オンボードパッケージのダウンロード」をクリックしてパッケージをダウンロードします。
4.ダウンロードしたZIPを検証用PCへ移動し、解凍する。中にある .cmd ファイルを 「右クリック」- 「管理者として実行」 する。画面の指示に従い「Y」を入力し、完了画面が出るまで待つ。
次に検証用PCでPowerShell(管理者)を開き、以下を実行。
・Get-Service sense
StatusがRunningになっていれば端末側の準備は完了です。
注意: クラウド管理画面(アセット – デバイス)にPC名が反映されるまで、最大15分〜30分程度のタイムラグがあります。表示されるまで焦らず待ちましょう。
5.次に今回の肝である「管理者の承認フロー」を発生させるため、検証用PCを特別なルールに入れます。「システム」-「設定」-「エンドポイント」をクリックします。
6.「デバイス グループ」-「+ デバイス グループの追加」をクリックします。
7.「デバイス グループ名」に「検証用グループ」と入力し、「修復レベル」で「半自動 – すべてのフォルダーの承認が必要」を選択して、「次へ」をクリックします。
8.「次の値と等しい」に「DESKTOP-******」と検証用のPCのデバイスを入力し、「次へ」をクリックします
9.「プレビューの表示」をクリックし、デバイス名に「¥desktop-*****」が表示されていることを確認します。
10.すべてのユーザー」を選択し、「選択したグループを追加する」をクリックします。
11.「送信」をクリックします。
12.「完了」をクリックします。
13.「変更を適用」をクリックします。
14.テストマルウェア(EICAR)の実行
・検索エンジンでeicarを調べ「Download Anti Malware Testfile – EICAR」をクリックします。https://www.bing.com/ck/a?!&&p=41f975a0ff523e6e3f12edafef0c442830dd2cb7c5cd7dc891e2e9ab8417b624JmltdHM9MTc3OTU4MDgwMA&ptn=3&ver=2&hsh=4&fclid=3dc6a531-096a-6078-1973-b3870831615e&psq=eicar&u=a1aHR0cHM6Ly93d3cuZWljYXIub3JnL2Rvd25sb2FkLWFudGktbWFsd2FyZS10ZXN0ZmlsZS8
15.「EICAR.COM.TXT」の「DOWNLOAD」をクリックします。ダウンロードして開きます。
16.「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」が表示されていることを確認しコピーします。
17.検証用PCのデスクトップでテキストファイルを作成し、ファイル名を eicar.com に変更。
メモ帳を開き、先ほどコピーしたコード「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」を張り付けて上書き保存。
保存した瞬間(または右クリックスキャン時)、Windowsから「脅威が検疫されました」「ブロックされました」と通知が出現。デスクトップからファイルが消えていれば隔離成功です。
18.「調査と対応」の「アラート」をクリックします。
19.ポータルでのアラート確認
数分待つと、’Eicar’ test file detected… というアラートが自動で飛び込んできます。
このようにアラートが飛べば検知完了です。
20.アクションセンターでの承認とファイル復元
ポータルの「調査と対応」-「アクションと報告」-「アクションセンター」を開き「履歴」をクリックします。
21.先ほどの手順で「半自動」に設定したため、履歴タブに今回の隔離アクションが届いています。
当該の項目にチェックを入れ、画面右上の「元に戻す」をクリック。
22.「確認する」をクリックします。
23.承認完了から約3分〜10分後、検証用PCのデスクトップを監視していると、消えていた eicar.com が自動的にポコッと元の場所に再出現します!
これで、「検知 ➔ 自動隔離 ➔ アラート通知 ➔ 管理者承認 ➔ 遠隔復元」という一連のセキュリティ運用フローが完全に証明されました。
5.まとめ
今回の検証を通して、単なる動作確認だけでなく、Microsoft Defender for Endpoint(MDE)という次世代セキュリティソリューションの本当の価値を肌で感じることができました。
従来のセキュリティ対策(Before)から、MDE導入後(After)で劇的に変わるポイントは以下の3点に集約されます。
- 1. 「アラートに追われる日々」からの脱却 従来のアンチウイルスは「検知したこと」を知らせるだけで、対処は人間任せになりがちでした。しかしMDEは、検知と同時に「安全な場所への隔離」までを全自動で行ってくれます。深夜や休日に脅威が発生しても、被害の拡大を初動で確実に食い止めてくれます。
- 2.IT管理者の負担を劇的に下げる「遠隔操作」 万が一の誤検知の際、これまでは現場のPCまで駆けつけたり、ユーザーに複雑な操作を電話で指示したりする必要がありました。MDEなら、管理者が自席のクラウド画面(アクションセンター)から数クリックで復元や調査が完結するため、管理者の物理的・心理的な負担が大きく下がります。
- 3.強固なルールを適用できる「セーフティネット」 「強力なセキュリティを入れると、必要なファイルまで消されて業務が止まるのでは?」という現場の不安は常につきまといます。しかし、今回のように「いざとなればリモートで簡単に戻せる」という明確な救済措置があることで、企業は自信を持って強固なセキュリティポリシーを適用できるようになります。
サイバー攻撃が高度化する昨今において、MDEは単なるウイルス対策ソフトではなく、企業の資産とIT管理者の心を守る強力なパートナーだと実感しました。
これからエンドポイントセキュリティの見直しを検討されている方は、ぜひMDEの導入を選択肢に入れてみてください!