Microsoft Defender XDR 5月アップデート：Blobマルウェア自動隔離・GitHub認証強化・Secure Boot推奨事項が追加

Azure・Microsoft 365環境を運用するエンジニアにとって、毎月恒例のDefender XDRアップデートから見逃せない機能が追加された。2026年5月版では「Blobの自動ソフトデリート（隔離）」「GitHubアーティファクト認証の強化」「Secure Boot 2023証明書の推奨事項追加」という3点が特に注目に値する。クラウドストレージのマルウェア対策からソフトウェアサプライチェーンセキュリティまで、幅広い領域をカバーする内容だ。

Defender for Cloud：悪意あるBlobを自動隔離する時代へ

これまでDefender for Cloudのマルウェアスキャンは、悪意あるコンテンツを検出しても「検出の通知」にとどまるものだった。今回のアップデートで、マルウェアと判定されたAzure Blob Storageのファイルを自動ソフトデリート（論理削除＝隔離）する機能が追加された。

「ソフトデリート」という点がポイントで、完全削除ではなく一定期間隔離状態に置く。これにより、誤検知への対処や証拠保全が可能になる。ランサムウェア対策として広く使われているBlobストレージのソフトデリート機能を、セキュリティ自動化ワークフローに組み込んだかたちと言える。

特に重要なのは「検出してアラートを出す」から「検出して自動対処する」への転換点を示している点だ。従来は運用担当者がアラートを確認し、手動で対応する必要があった。この自動化により、夜間・休日のインシデント対応時間を大幅に短縮できる可能性がある。

GitHubコネクタ：アーティファクト認証でサプライチェーンを守る

GitHub連携において、artifact_metadata:write 権限が新たに追加された。これにより、ビルド成果物（アーティファクト）の出所（プロベナンス）を証明するアーティファクト認証（Artifact Attestation）機能が強化される。

ソフトウェアサプライチェーン攻撃が頻発する昨今、「このバイナリは本当に信頼できるパイプラインから生成されたのか」を証明する仕組みは不可欠だ。SLSA（Supply-chain Levels for Software Artifacts）フレームワークへの対応を進める組織にとっては、直接的な恩恵がある。日本のエンタープライズ環境では「SBOM? SLSAって何？」という状態のところも少なくないが、こうした機能がプラットフォームに組み込まれていくことで、自然と全体の底上げが進むのは良い流れだ。

Secure Score：Secure Boot 2023証明書の推奨事項が追加

Microsoft Secure Scoreに、Secure Boot 2023証明書の確認に関する新しい推奨事項が追加された。2023年以降、MicrosoftはSecure Bootの証明書更新プロセスを大きく変更しており、対応が遅れている環境では将来的にブート問題が発生するリスクがある。Secure Scoreでの可視化により、管理者が「優先的に対処すべき項目」として明示されるようになった。

実務への影響

Azure Blob Storage運用担当者

• 自動隔離機能の有効化を検討する。誤検知ポリシーの設定と、隔離期間（保持日数）の設計を先に固めておくこと
• 既存の「マルウェアスキャン有効化」設定とセットで見直すタイミング

DevOpsエンジニア・セキュリティチーム

• GitHubアクションパイプラインでアーティファクト認証を実装している場合、Defenderとの連携権限（artifact_metadata:write）の追加確認を
• SBOMやプロベナンス情報の収集は、もはや「意識の高い組織だけ」の話ではなくなりつつある

IT管理者全般

• Secure Scoreの推奨事項に新項目が加わっているため、定期レビューのタイミングで必ず確認を
• Secure Boot証明書の対応状況は、特にオンプレミス混在環境で見落としがちな盲点になりやすい

筆者の見解

今回のアップデートを一言で表すなら「自動化の着実な一歩前進」だ。

Blobの自動隔離は、「検出→対処」ループの自動化という、ゼロトラスト実装において論理的な帰結と言える。「なぜ今まで自動対処がなかったのか」という気持ちがないとは言えないが、それより前に進んでいることを評価したい。ゼロトラストの実装は「禁止する」より「安全に動く仕組みを育てる」ことが本質であり、今回の機能追加はその方向に正しく向いている。

GitHubのアーティファクト認証強化も方向性は正しい。ソフトウェアサプライチェーンセキュリティは、欧米ではすでに規制対応の文脈でも語られ始めており、日本企業が「うちには関係ない」と言い続けられる時間はそう長くない。プラットフォームが対応機能を積み上げてくれることで、現場が自然と引き上げられる構造は、長期的に見て健全だ。

Defender XDRは毎月こうして地味だが着実な改善を重ねている。個々の機能の派手さより、全体として使えるエコシステムを育てるアプローチに、Azureプラットフォームとしての底力を感じる。これからも、日本のIT現場が「安全に・便利に使い続けられる」仕組みを丁寧に積み上げていってほしいと思う。

出典: この記事は Monthly news - May 2026 | Microsoft Defender XDR & Security Updates の内容をもとに、筆者の見解を加えて独自に執筆したものです。