はじめに
2025年11月18日から21日、アメリカ・サンフランシスコで開催された「Microsoft Ignite 2025」に現地参加し、クラウド&セキュリティ分野の最新トレンドを確認してきました。
筆者は Microsoft Top Partner Engineer Award セキュリティ部門 を2年連続(2024年・2025年)で受賞しており、現場での課題解決や運用効率化につながる最新情報を日々キャッチアップしています。
本記事では、特に印象に残った Microsoft Security Copilot、Microsoft Sentinel の進化ポイント、そして現場で見逃せない Defender for Endpoint のレガシーOSサポート拡張 について、セキュリティ担当者の視点から解説します。
キーノート会場(CHASE CENTER)現地の様子。Microsoft のロゴが鮮やかに映し出されていました。
1. Microsoft Security Copilot の進化
セキュリティ領域で最も注目度が高かった発表
今回の Microsoft Ignite 2025 キーノートで、セキュリティ領域において最も話題となったのが、Security Copilot の Microsoft 365 E5 への標準搭載です。
これにより、E5ライセンスを持つ企業は追加コストなしでAIによるセキュリティ運用支援を利用できます(ただし、所定の制限枠を超えて利用するためには追加コストが必要です)。SOCやセキュリティチームの業務効率化に大きなインパクトを与えます。
Microsoft Security Copilot とは?
Microsoft Security Copilot は、生成AIと脅威インテリジェンスを活用したセキュリティ運用支援ツールです。
自然言語で指示を出すことで、脅威分析やインシデント対応を迅速化し、Microsoftのセキュリティ製品群(Defender、Entra、Intune、Purviewなど)と連携して、運用の効率と精度を高めます。
主な特徴
- 自然言語で指示可能:脅威分析やインシデント対応をスピードアップ
- Microsoft製品と連携:Defender、Entra、Intune、Purview など主要サービスと連携
- エージェントによる拡張性:特定タスクを担うエージェントが追加され、パートナー製やカスタムエージェントとの連携も可能に
ポイント
AIの力で、これまで専門知識が必要だったセキュリティ運用を、より直感的かつ効率的に行えるようになります!
実際に確認してみた:Security Copilotの利用可否
Defenderポータルにアクセスし、Copilotメニューの有無を確認しましたが、残念ながら、私の検証用テナントでは現時点で表示されませんでした。
提供は段階的に進んでいるようで、現時点では大規模テナントから順次反映されている可能性があります。利用条件や適用タイミングは公式ドキュメントをチェックしつつ、今後の展開をウォッチしていきたいところです。
2. Microsoft Sentinel の進化
Microsoft Sentinel はクラウドネイティブ SIEM として進化を続けています。今回の Microsoft Ignite 2025 では、特に以下の内容が押し出されていました。
-
データレイク統合
データレイクを活用し、システム全体の可視性を一元化するとともに、長期保持コストを削減。また、クエリ実行コストをデータ保持コストと分離することで、より柔軟なコスト管理が可能になります。 -
Agentic Defense の概念
データ、AI、エージェントを統合し、検知・調査・対応を高速化する新しい防御モデルを提唱。 -
攻撃の自動遮断:Automatic Attack Disruption
既存の自動遮断機能を強化し、AWS、Proofpoint、Okta などのマルチクラウド環境にも対応しました。これにより、攻撃チェーンを自動で遮断し、被害を最小化する仕組みがより広範な環境で利用可能になります。 -
SIEM移行の強化
既存の SIEM ユーザー向けに、Splunk(2025年12月)、IBM Qradar(2026年1月)からの移行をより簡素化。検知ルール変換やデータマッピングを支援する機能が追加され、移行作業の負担を軽減します。
ポイント
セキュリティ運用の自動化・効率化がさらに進み、複雑な環境でも迅速な対応が可能になります!
実際に確認してみた:Sentinel のデータレイク設定
「Microsoft Sentinelのデータレイク統合」について、設定画面を確認していきましょう。
私が持っている検証環境では 「データレイクの対象外」 という表示がされてしまいました。
「データレイクを有効にするには、テナントに正しい前提条件が必要です」と記載の通り、データレイクのセットアップには「前提条件」があることがわかります。
その一つが Microsoft Defender XDR と Microsoft Sentinel の連携設定です。
※最近構築されたSentinel環境の場合は、連携設定がデフォルト有効のため、今回のような表示はされないものと思われます。
連携設定済の環境で改めて確認すると「セットアップの開始画面」が表示されました。
「セットアップの開始」を選択し、サブスクリプションやリソースグループを指定すると「データレイクのセットアップ」ボタンがクリックできるようになります。
データレイクのセットアップが完了すると、データの保存先として「データレイク層」が選択できるようになります。
3. Microsoft Defender for Endpoint:レガシーOSサポートの拡張
Microsoft Ignite 2025では、Microsoft Defender for Endpoint のレガシーOSサポートが拡張されることが発表されました。
これにより、サポート対象外になりがちな古いOS環境でも、最新のセキュリティ機能を適用できるようになります。
- 対象OS:Windows 7、Windows Server 2008 R2
- 現場でのメリット:移行中や長期稼働が必要なシステムのセキュリティリスクを低減
ポイント
「古いから守れない」ではなく、「古くても守る」ための選択肢が広がったことは、現場のセキュリティ担当者にとって大きな安心材料です!
実際に確認してみた:Defender のレガシーOS対応
Microsoft Defender ポータルの設定画面でオンボード対象OS を確認したところ、Windows 7 やWindows Server 2008 R2 といったレガシーOS が選択肢に表示されていることを確認できました!
4. まとめ・所感
Microsoft Ignite 2025では、AIによるセキュリティ運用の変革が大きなテーマでした。
特に、
- Security Copilot:生成AIと脅威インテリジェンスで、インシデント対応や脅威分析を効率化
- Microsoft Sentinel:クラウドネイティブSIEMから、データレイク+AI基盤による次世代運用へ進化
- Defender for Endpoint:レガシーOSサポート拡張で、古い環境も守れる選択肢を提供
これらは単独で価値があるだけでなく、連携することでセキュリティ運用の全体最適化が可能になります。
現場の課題である「複雑化する脅威」「多様な環境」「運用負荷」を、AIとクラウドの力で解決する方向性が明確になったイベントでした。
We Are Hiring!