Defender for Endpointに未知デバイスを起点とする攻撃を防ぐ新機能が実装？：セキュリティニュースアラート

MicrosoftはMicrosoft Defender for Endpointに未検出デバイスに関連するIPアドレスを隔離する新機能を追加した。攻撃の兆候を検出した際に自動で関連IPを遮断する機能で、現在プレビュー版を提供している。

[後藤大地，有限会社オングス]

　Microsoftは2025年4月9日（現地時間）、「Microsoft Defender for Endpoint」（以下、Defender for Endpoint）にネットワーク上で未検出のデバイスに関連するIPアドレスを自動的に隔離する新機能を追加したと伝えた。

　同機能は自動攻撃遮断機能と連動し、攻撃の兆候を検出した際に未登録のデバイスにひも付くIPアドレスとの通信を遮断する。現在はプレビュー版で提供されている。

Defender for EndpointにIPアドレス隔離機能が実装？　現在はプレビューのみ

　「Microsoft Defender XDR」は複数のセキュリティソースを統合的に分析し、脅威の検出や調査、対応を自動化する統合型セキュリティプラットフォームだ。その中でもDefender for Endpointは、エンドポイントに特化した高度な脅威防御機能を提供する。

　今回追加したプレビュー機能では、Defender for Endpointにまだオンボーディングされていない、もしくはMicrosoftによってまだ検出できていないデバイスに関連するIPアドレスを隔離対象とする。具体的には、これらのIPアドレスとの送受信を遮断することで、攻撃者がネットワーク内の他のデバイスへ攻撃を広げるのを防ぐことを目的としている。

　この隔離処理はDefender for Endpointの自動攻撃遮断機能が実行する。攻撃の兆候を検出すると関連するIPアドレスを特定し、自動的に遮断する仕組みとなっている。隔離したIPアドレスに関するアクションは、Defender for Endpointの「アクションセンター」内の履歴ビューで確認でき、必要に応じて管理者は「Contain IP」アクションを選択し、「Undo（取り消し）」を実行することでネットワーク接続を回復できる。

　この新しい機能は、「Windows 10」「Windows Server 2012 R2」「Windows Server 2016」「Windows Server 2019」以降を実行しているDefender for Endpoint搭載デバイスで利用できる。正式導入によって、セキュリティチームが全てのエンドポイントを把握しきれていない状況においても、ネットワーク全体の安全性を高めることが可能になる。特に未知の脅威が内部で拡散するリスクを抑制する点において、大きな効果が期待できる。

　なお、本機能は現在プレビュー版としての提供であり、将来的に正式な機能としてリリースするかどうかは現時点では不明だ。正式導入が実現した場合、Defender for Endpointに未登録のデバイスに起因するリスクにも自動的に対処できる可能性があり、企業ネットワークの防御力向上に寄与する機能となる。