Microsoft Defender for Business 完全ガイド|M365 Business Premium で『追加コストなし』のEDRをどこまで使えるか
『M365 Business Premium 入れてるけど、Defender for Business って何ができるの?』『追加で他社EDRを買う必要ある?』――中小企業の情報システム担当者から最も多く寄せられる質問の一つです。
本記事では、Microsoft Defender for Businessの機能範囲、Defender for Endpoint Plan 1/Plan 2との違い、M365 Business Premium に含まれる範囲、サーバー保護の追加ライセンス、足りない機能(高度なハンティングなど)、現実的な導入手順までを、実務視点で徹底解説します。
Microsoft Defender for Business とは
Microsoft Defender for Business(以下 Defender for Business)は、最大300ユーザーまでの中小企業向けに最適化された、Microsoft Defender for Endpoint ベースの統合エンドポイントセキュリティソリューションです。
提供形態
- Microsoft 365 Business Premium に標準同梱:追加コストなしで利用可能
- スタンドアロン購入:Microsoft 365 Business Basic/Standard、Office 365 E1 等の組織で約 3ドル/ユーザー・月(参考)
- 上限300ユーザー:これを超える組織は Defender for Endpoint Plan 1 / Plan 2 へ移行
対応OS
- Windows 10/11(Pro/Enterprise)
- macOS
- iOS/iPadOS
- Android
- Windows Server/Linux サーバー(Defender for Business servers アドオンが別途必要)
クロスプラットフォーム対応のため、社内に Mac やスマートフォンが混在していても1つの管理コンソールで状況把握できる点が、3rd Party EDRに対する明確な優位性になります。
Defender for Business の主な機能
① 次世代マルウェア対策(NGAV)
機械学習・ふるまい検知・クラウドベースの脅威インテリジェンスを組み合わせた次世代型のアンチウイルス。シグネチャベースでは検知できない未知マルウェア、ファイルレス攻撃、PowerShell 悪用などに対応します。
② 攻撃面の縮小(ASR)
マクロからのプロセス実行、Office アプリからの子プロセス起動、認証情報の盗用、スクリプト経由のペイロード実行などをあらかじめブロックするルールセット。攻撃者の常套手段を構造的に閉じることで、検知後の修復より一段早い防御が実現します。
③ エンドポイント検出と応答(EDR)
侵害の疑いをリアルタイムに検知し、デバイスを自動隔離、プロセスツリー・ファイル変更履歴・通信先IPなどを可視化。中小企業向けに『最適化』されており、専門知識のないIT担当でも操作できる UI に整えられています。
④ 自動調査と修復(AIR)
検知されたアラートに対して、Microsoft の自動分析が侵害範囲を特定し、悪意のあるファイル削除・プロセス停止・サービス無効化などの修復アクションを人手介在なしで実行。情シスの夜間・休日対応負荷を大幅に下げます。
⑤ 自動攻撃中断(Automatic Attack Disruption)
ランサムウェアやアカウント侵害が確実視される高信頼アラートに対して、侵害デバイスの即時隔離・侵害アカウントの無効化を自動実行。被害拡大を分単位で食い止める仕組みです(Defender for Business・Plan 2 のみ提供)。
⑥ 脆弱性管理(コア機能)
社内デバイスの OS/インストール済みアプリの脆弱性を継続的にスキャンし、優先度付きで修復推奨を表示。CVSSスコア・社内利用状況・脅威動向を組み合わせた現実的な優先順位付けが特徴です。
⑦ 脅威の分析(Threat Analytics)
Microsoft セキュリティチームが世界中で観測している攻撃キャンペーン情報を、自社環境への該当・影響有無と紐付けて表示。新しい攻撃が世間で報道されたとき、自社が暴露されているかを管理画面ですぐ確認できます。
⑧ 月次セキュリティ概要レポート
経営層・取引先・監査向けに使える月次サマリーレポートを自動生成。インシデント数・修復済み件数・脅威傾向などを1枚で報告できます。
Defender for Endpoint Plan 1/Plan 2 との違い
Defender for Business は、Defender for Endpoint Plan 1 の機能をすべて含み、加えて Plan 2 の一部機能を SMB 向けに最適化して提供しています。
| 機能 | Defender for Business | Defender for Endpoint P1 | Defender for Endpoint P2 |
|---|---|---|---|
| 次世代マルウェア対策(NGAV) | ✔ | ✔ | ✔ |
| 攻撃面の縮小(ASR) | ✔ | ✔ | ✔ |
| EDR(エンドポイント検出と応答) | ✔(最適化) | ― | ✔ |
| 自動調査と修復(AIR) | ✔ | ― | ✔ |
| 自動攻撃中断 | ✔ | ― | ✔ |
| 脆弱性管理(コア機能) | ✔ | ― | ✔ |
| 脅威の分析(Threat Analytics) | ✔(最適化) | ― | ✔ |
| 高度な検索(KQL ハンティング・30日) | ― | ― | ✔ |
| データ保持(6か月) | ― | ― | ✔ |
| Microsoft 脅威エキスパート(MTE) | ― | ― | ✔ |
| クロスプラットフォーム(Mac/iOS/Android) | ✔ | ✔ | ✔ |
| サーバー保護 | アドオン要 | アドオン要 | アドオン要 |
| 対象ユーザー数 | 最大300 | 制限なし | 制限なし |
ポイントは、『P1には無いEDR・AIR・脆弱性管理・自動攻撃中断がDefender for Businessに入っている』ことです。中小企業視点では、Plan 1 ではなく Defender for Business を選んだ方が機能的にも経済的にも合理的になるケースが多いです。
▶ 関連記事:EDR徹底比較|CrowdStrike vs SentinelOne vs Sophos Intercept X|中小企業に最適なのは?
M365 Business Premium 全体での位置づけ
M365 Business Premium に含まれるセキュリティ/管理機能は Defender for Business だけではありません。以下を1ライセンスで利用できる『SMB向け統合スイート』として設計されています。
- Defender for Business:エンドポイント保護/EDR/脆弱性管理
- Defender for Office 365 Plan 1:メール添付サンドボックス、URL検査、フィッシング保護
- Microsoft Intune:MDM/MAMによるデバイス・モバイル管理
- Microsoft Entra ID P1:条件付きアクセス、SSO、多要素認証
- Information Protection(基本):機密ラベル、DLP(基本機能)
- Office アプリ(Word/Excel/Outlook)デスクトップ/Web 版
つまり、M365 Business Premium 1ライセンスで『エンドポイント+メール+ID+デバイス管理+情報保護』がパッケージ化されており、別個に EDR・MDM・SSO 製品を契約せずに済む構成が可能です。
▶ 関連記事:クラウドサービスは安全?Microsoft 365・Google Workspaceのセキュリティ設定チェックリスト
サーバー保護はどうする?(Defender for Business servers アドオン)
Defender for Business 標準ライセンスは PC/タブレット/スマホなどのクライアントデバイス専用で、Windows Server/Linux サーバーは保護対象外です。サーバーを Defender 統合管理下に置くには専用アドオンが必要です。
| 項目 | 内容 |
|---|---|
| 製品名 | Microsoft Defender for Business servers |
| 対象 | Windows Server/Linux サーバー |
| ライセンス単位 | サーバー1台ごと(参考価格 約3ドル/月) |
| 前提条件 | Defender for Business 本体(または M365 Business Premium)契約 |
| サーバー上限 | 参考60台(環境による) |
ファイルサーバーや Active Directory/業務アプリサーバーが社内にある中小企業では、このアドオンでクライアントとサーバーを単一画面で運用できます。
Defender for Business で『足りない』ケースと補完手段
足りない機能
- 30日間の高度なハンティング(KQL):脅威ハンターが任意のクエリでログを横断検索する機能。Plan 2 が必要
- 6か月のデータ保持:長期インシデント調査・コンプライアンス監査向け。Plan 2 が必要
- Microsoft 脅威エキスパート(MTE):Microsoft セキュリティ専門家による通知・支援。Plan 2 専用
- 24時間365日の監視・対応(MDR):Microsoft 標準では未提供。SophosやArcticWolf等のMDRサービスを別途契約するか、社内SOCが必要
補完手段
- M365 Defender Suite アドオン(参考10ドル/ユーザー・月):Defender for Endpoint Plan 2/Defender for Identity/Defender for Cloud Apps/Entra ID P2 をまとめて追加
- Microsoft Sentinel との連携:SIEM/SOAR で複雑な相関分析・自動対応を構築
- サードパーティMDRサービス併用:Sophos MDR、CrowdStrike Falcon Complete等で24時間監視を外注
導入手順(5ステップ)
Defender for Business の導入は、専門知識がなくても『ウィザード主導』で進められるよう設計されています。
| Step | 実施内容 |
|---|---|
| ① ライセンス割り当て | Microsoft 365 管理センターで対象ユーザーへ M365 Business Premium または Defender for Business を割り当て |
| ② セキュリティポータルにアクセス | Microsoft Defender ポータル(security.microsoft.com)でセットアップウィザードを起動 |
| ③ デバイスのオンボーディング | Microsoft Intune または手動スクリプトで Windows/Mac/iOS/Android をオンボード(Intune 必須ではない) |
| ④ ポリシー設定 | 既定の推奨セキュリティポリシーを適用(NGAV/ASR/ファイアウォール/Web保護)。必要に応じて部署別カスタマイズ |
| ⑤ 運用開始 | アラート確認・自動修復ログ確認・脆弱性レポート確認のローテーション運用を整備 |
向いている組織/向いていない組織
向いている組織
- 従業員300名以下で M365 Business Premium を導入済/導入予定
- EDR・脆弱性管理・MDM・SSO・MFA を1ライセンスで揃えたい
- Mac/iOS/Android が混在しており、単一管理画面で扱いたい
- 専門のSOC・セキュリティアナリストを社内に持たない(自動修復で運用負荷を下げたい)
- 取引先からの『EDR導入』要求にコスト最小限で応えたい
別解を検討すべき組織
- 従業員300名超:Defender for Endpoint Plan 1/Plan 2 へ移行(あるいは併用)
- 24時間365日の監視・対応が要件:Sophos MDR/CrowdStrike Falcon Complete等のMDRサービス検討
- 独自検出ロジック・KQLハンティング・Sentinel連携が必須:Plan 2+Sentinel構成
- 金融・医療など長期データ保持(6か月超)が監査要件:Plan 2 へ移行
まとめ:『追加コストなし』のEDRをまず使い倒す
中小企業のセキュリティ予算は限られており、EDR1製品に年間数百万円を投じるのは現実的でないケースが多々あります。すでに M365 Business Premium を契約している組織であれば、Defender for Business は『すでに支払い済みのライセンスでEDRが手に入っている』状態です。
- 追加コストなしでEDR・自動修復・脆弱性管理が利用可能
- Mac/iOS/Android クロスプラットフォーム対応
- サーバー保護はアドオンで段階的に拡張可能
- 足りないMDR領域はサードパーティサービスで補完可能
まずはDefender for Business を使い倒し、足りない領域だけを段階的にPlan 2/MDRで補完していくのが、最もコスパの良いSMBセキュリティ戦略です。
c-compe.comでは、Defender for Business のセットアップ支援、サーバー保護アドオンの選定、Sophos/CrowdStrike等のMDR併用構成までトータルにご相談いただけます。具体的な構成・予算感のご相談はお気軽にお問い合わせください。