実務チェックリスト
Microsoft Defender更新確認チェックリスト
Defender関連のCVEやKEV掲載時に、更新の到達率、例外端末、高権限端末、EDRログを同じ表で確認し、対応済みと未確認を分ける。
- 対象者
- 情シス
- 緊急度
- 初動
- 領域
- エンドポイント
- 難易度
- 中級
- 所要時間
- 約11分
- 最終更新
- 2026-05-31
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
Microsoft Defender、Defender for Endpoint、EDR、端末保護エンジンに関するCVE、CISA KEV、MSRC更新、SOC通知を受け取った直後に使う。
誰が使うか
端末管理者が更新状態を確認し、SOCまたはCSIRTがアラート、ログ、例外端末、エスカレーション判断を確認する。
エスカレーション条件
KEV対象端末が未更新、高権限端末が未確認、Defender保護機能の無効化、EDRアラート、不審なサインインやSaaS操作がある場合はCSIRTへ上げる。
何を確認するか
Microsoft DefenderやEDRの脆弱性・KEV情報を受け取ったとき、エンジン更新、Defender for Endpoint、未確認端末、例外設定、ログを確認するチェックリスト。
なぜ重要か
エンドポイント保護エンジンは端末上で高い権限を持ち、検知、隔離、ログ収集、保護制御を担う。更新が届かない端末や保護無効化を見落とすと、守る側の基盤が穴になる。
見落とすと何が起きるか
更新済み端末だけを見て未接続端末や例外端末を見落とすと、脆弱性対応後も高権限端末や開発端末が未保護のまま残る。
確認前に準備するもの
- CVE番号、MSRC、CISA KEV、NVD、対象製品名、対象日付
- Intune、Configuration Manager、WSUS、Defenderポータル、端末台帳
- Defender for Endpointアラート、EDRログ、IdPログ、SaaS監査ログ
確認後に残すべき記録
- 更新済み、更新失敗、未接続、未確認、管理外、例外の端末数
- 高権限端末、開発端末、CI端末、共有端末の確認結果
- 保護無効化、隔離、検出、サインイン、SaaS操作の確認結果と残リスク
対象端末と更新経路を確認する
未更新・例外・保護無効化を分ける
EDRと周辺ログを見る
報告と再確認を整理する
よくある質問
Microsoft Defender更新確認チェックリストは何のためのチェックリスト?
エンドポイント保護エンジンは端末上で高い権限を持ち、検知、隔離、ログ収集、保護制御を担う。更新が届かない端末や保護無効化を見落とすと、守る側の基盤が穴になる。
いつ使う?
Microsoft Defender、Defender for Endpoint、EDR、端末保護エンジンに関するCVE、CISA KEV、MSRC更新、SOC通知を受け取った直後に使う。
誰が対応する?
端末管理者が更新状態を確認し、SOCまたはCSIRTがアラート、ログ、例外端末、エスカレーション判断を確認する。
確認漏れがあると何が起きる?
更新済み端末だけを見て未接続端末や例外端末を見落とすと、脆弱性対応後も高権限端末や開発端末が未保護のまま残る。
信頼性と注意事項
- 想定環境
- Microsoft Defender Antivirus、Microsoft Defender for Endpoint、Windows端末、VDI、管理者端末、開発端末、CI/CD端末を含む環境
- 注意
- 不審ファイルやリンクを再実行せず、公式情報、端末管理画面、EDR、ログ、台帳に基づいて確認する。影響バージョンや悪用条件は公式情報で確認する。
- 最終更新日
- 2026-05-31