セキュリティチームのぐっちーです。先日「デバイスを信頼(トラスト)したい!!」という当社オフラインイベントに参加してきましたが、Microsoft Defender for Business(以下 MDB)とMicrosoft Defender for Endpoint(以下MDE) P2の違いや、混在する場合の注意点について、たくさん質問をいただいたのでブログにしました。
本ブログの内容は、2023年4月6日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。
お問合せ内容
現在、エンドポイントの保護に関する施策を検討中で、MDBとMDE P2のどちらを利用するか悩んでいます。この2つのライセンスの機能差異はどのようなものがありますでしょうか?
また、2つのライセンスが混合して利用しても大丈夫でしょうか?
前提知識:ライセンス体系について
MDBは、中小企業(SMB)向けに設計されており、必要不可欠なセキュリティ機能に焦点を当て、手頃な価格で提供されているのが特徴です。[*1] 一方、MDE P1やMDE P2は、中小企業からエンタープライズまで幅広い顧客層をカバーできるライセンスプラン設計となっています。
下記のどのライセンスを使っても、同じUIの管理コンソールを利用するため、操作感等に違いがありませんが、利用できる機能にはライセンスごとに差異があります。
| Microsoft Defender for Endpoint P1 | Microsoft Defender for Business | Microsoft Defender for Endpoint P2 | |
|---|---|---|---|
| 対象顧客 | 中小企業(SMB)からエンタープライズまで幅広く | 300名以下の中小企業(SMB) | 中小企業(SMB)からエンタープライズまで幅広く |
| 含まれるライセンス[*2] | ・Microsoft Defender for Endpoint P1 スタンドアロン ・Microsoft 365 E3/A3 | ・Microsoft Defender for Business スタンドアロン ・Microsoft 365 Business Premium | ・Microsoft Defender for Endpoint P2 スタンドアロン ・Windows 11 Enterprise E5/A5 ・Windows 10 Enterprise E5/A5 ・Microsoft 365 E5/A5/G5 ・Microsoft 365 E5/A5/G5/F5 Security ・Microsoft 365 F5 Security & Compliance |
| 利用できる機能の範囲(イメージ) | 少 | 中 | 多 |
MDBとMDE P2の違い
「MDBとMDE P2をどっち買えばいいの?」と迷われている方が多いので、「MDE P2を基準として、MDBは何が利用できなくなるか?」という切り口で、さらにポイントを絞って解説します。尚、詳細かつ網羅的な情報としては、マイクロソフトの公式サポートサイトをご覧ください。
対象ユーザー規模数
最も代表的な違いは企業のユーザー数です。MDBは300名以下の企業を対象としたライセンスであり、ユーザー数が300人を超える企業で利用することはできません。300人以上の組織に関しては自然とMDBが選択肢から外れることになります。MDBを利用中の企業で、従業員が300人を超えそうな場合は、マイクロソフト社と要調整となるのでご注意ください。
エンドポイントの検出と対応 (EDR)
MDE P2 には、「エンドポイントの検出と対応 (EDR)」が含まれています。 これは疑わしいファイル等を検出した際に、自動調査や検疫をおこなったり、デバイスの切り離しを実施できる機能です。この機能について、サポートサイトには以下の記載があり、MDBでは一部機能が制限されるように読めます。
Defender for Endpoint Plan 1およびMicrosoft Defender for Businessには、以下の手動対応アクションのみが含まれています:
(筆者意訳)
- ウイルス対策スキャンを実行する
- デバイスを分離する
- ファイルの停止と検疫
- ファイルをブロックまたは許可するインジケーターを追加する
しかし、サポートサイトの記載だけでは具体的に何が使えないかわかりません。そこで、実際に手動アクションの項目を比べてみました。結果は、後述する「Ask Defender Experts」と「Go hunt(Advanced Hunting)」以外、手動アクションに関する機能的な差異がありませんでした。
また、MSのサポートに問い合わせてみましたが、自動で実施されるアクションに関しても、MDE P2とMDBでは機能的な差異はないとのことです。
「エンドポイントの検出と対応 (EDR)」の検証のために、ライセンス以外、全く同条件の新しいテナントを2つ準備し、検出テストを行いました。
- ライセンスは片方はMDE P2を利用、もう片方はMDBを利用
- デバイスは同じスペックのAzure VMを利用
- テストファイルはEicarを利用し、ほぼ同時刻にデスクトップに配置
- オンボードはどちらもスクリプトで実施
その結果、MDE P2のテナントの方がマルウェアを検知し、メール通知が来るまでの時間が数分早く、パフォーマンスが優れているという結果となりました。また、「MDE P2の方が10分以上検出が早かった」という他社の声も聞いたことがあります。
これは、MDBは中小企業に最適化されており、裏側のアーキテクチャもMDEとは異なるため、パフォーマンスが異なるのではと筆者は予想しています。ただし、そのことを裏付ける公開情報を見つけることはできなかったため、ご参考情報に留めていただけたら幸いです。(認識できていない検証条件の違いによって差異が生まれた可能性もあります。)
Advanced Hunting(高度な追求)
Advanced Huntingは、Microsoft Defenderで収集する生データを、最大30日間分探索できる脅威ハンティングツールです。インシデント時の詳細な調査に利用したり、インシデントにつながるようなアクティビティを発見する活動に利用することができます。また、Custom Detection Rulesを使うと、指定したクエリを定期的に実行し、ヒットするイベントがあった場合はアラートを上げることもできます。
一方、MDBでは、Advanced Huntingは提供されていません。そのため、様々な調査(ハンティング活動)が片手落ちになる可能性があります。事故が発生した際に詳細な調査をしたり、平時からプロアクティブにインシデントにつながるアクティビティを監視したいなどの要件がある場合は、MDE P2を利用すると良いかもしれません。
Webコンテンツフィルタリング
MDEはWebコンテンツフィルタリングの機能を有しています。MDEはWebフィルタリング専門の製品ではないので細かな制御には向きませんが、例えば「成人向けコンテンツをブロックする」という設定などは可能です。尚、対応OSとしてWindowのみのため、ご注意ください。
こちらの機能はMDE P2・MDBどちらでも利用することができますが、MDBではスコープ(適用対象)の設定ができませんでした。全ユーザー同じポリシーが適用されてしまうので、ユーザーやグループ単位でポリシーを分けたいお客様にはMDBは不向きとなっています。
デバイスコントロール
MDEにはリムーバブルディスクディスク(USB等)やプリンターに対しての制御を行う「デバイスコントロール」という機能があります。マイクロソフトのサポートサイトによると「デバイスコントロール」のサポート範囲としてMDE P1・P2のみと記載されていますので、MDBではこちらは諦めなければなりません。
評価ラボ
MDE P2には、無料で提供される仮想端末(台数・時間制限あり)をランサムウェアに感染させ、MDEの対応の演習をする「評価ラボ」という機能があります。EDRツールは検出後の対応が非常に重要なため、MDEを初めて使うお客様には、この評価ラボを使ってMDEでの対応を習熟していただくことをお勧めしています。
一方、MDBではそのような機能は提供されておらず、テスト端末は自社で準備する必要があります。ただし、MDBでもテスト用検出ファイルは管理コンソールから提供されているので、このテスト用検出ファイルと、Azure等で立ち上げたVM等で「評価ラボ」の代用はできるとは考えていますが、若干手間です。
Defender Experts
「Defender Experts」は、マイクロソフト社の専門家に支援を求めることができるサービスです。エンドポイントへの攻撃を通知してくれるSOCのような機能であったり、インシデントが発生した際に専門家に相談することができる機能を有しています。この機能はMDE P2やMDBとは別ライセンスのサービスですが、MDE P2のライセンスを有していることが利用条件の1つとなります。「Defender Experts」の利用を検討される場合は、MDE P2を利用するようにしてください。
MDE P2を有していること以外にも利用条件(ライセンス購入数等)が沢山あるようです。詳細はマイクロソフト社や販売代理店までお問い合わせください。
MDE P2とMDBサブスクリプションが混在している場合の注意点
前提
MDBを持つテナントはテナント全体でMDBが適用されます。例えMDE P1やMDE P2のライセンスがあり、ユーザーに割り当てている場合でもそれらのライセンスの機能を利用することができません。
MDBのライセンスが存在するテナントでMDE P2を利用する方法
MDBが存在するテナントでもMDE P2を利用したい場合は、マイクロソフト社のサポートに申請することによって、MDE P2をテナント単位で適用することができます。これをライセンスのオーバーライドと呼びます。当社が過去に申請した際に利用した項目は以下の通りですので、参考までに記載します。
申請に必要な情報
①. 「組織ID」とそれが確認可能なスクリーンショット
②. 「テナントID」とそれが確認可能なスクリーンショット
③. MDE P1またはP2が含まれるライセンスのスクリーン ショット
④. MDE への切り替えが必要となった背景およびビジネスインパクト
テナント内で MDBとMDE P1/P2のライセンスが混在している状況で、ライセンスのオーバーライドを行った場合で、MDE P1/P2のライセンスが全ユーザー分保持していない場合は、MDB相当のライセンスしか割り当てられていないユーザーがライセンス違反となる可能性があります。
補足:MDE P1とP2が混合する場合
本ブログでは、MDE P2とMDBの比較や混在する場合の注意点について記載しました。その中で、MDE P2とMDBのライセンスは混合して利用できず、テナント単位でMDE P2かMDBのどちらかを選択するような形で利用することになると紹介しました。
一方、MDE P1とP2ライセンスに関しては、「混合モード」を利用することで、同じテナント内で混合させて利用することができます。詳細は以下のサポート記事をご覧ください。
終わりに
今回は個人的に謎が多いと思っていたMicrosoft Defender for Businessについてまとめてみました。マイクロソフト社のライセンス体系はどのライセンスも難解なものが多く、変わることが多いので、最新の状況については、購入元にご確認ください。
参考資料
- Microsoft Defender for Business https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-business/?view=o365-worldwide
注釈
- Microsoft Defender for Business https://www.microsoft.com/ja-jp/security/business/endpoint-security/microsoft-defender-business
- サービスのメリットを得る権限をユーザーに提供するライセンスについて https://learn.microsoft.com/ja-jp/office365/servicedescriptions/microsoft-365-service-descriptions/microsoft-365-tenantlevel-services-licensing-guidance/microsoft-365-security-compliance-licensing-guidance#which-licenses-provide-the-rights-for-users-to-benefit-from-the-service-1
