はじめまして。Microsoft Defender for Endpoint (MDE) のSense Agentは、サイバー攻撃がますます複雑化する現代において、大変心強い存在です。ただし、バージョンが古いままだと十分な防御機能を発揮できないこともあります。今回は、環境内に古いSense Agentが残っているかの確認方法や、具体的な更新手順を幅広くまとめてみました。ぜひ最後までご覧ください。
MDE Sense Agentを最新に保つべき理由
MDE(Microsoft Defender for Endpoint)は、エンドポイントを狙うさまざまな脅威からWindows環境を守る総合的なプラットフォームです。その中心的な役割を担うのが、MSSense.exeとも呼ばれるSense Agentです。バージョンが古いままになると、脅威の検出や情報の収集が正しく行われないリスクが生じる可能性があります。そこで、まずはSense Agentの役割を理解し、なぜ更新が重要なのかを見ていきましょう。
Sense Agentとは何か
Sense Agentは、エンドポイントの振る舞いを常時監視し、マイクロソフトのクラウドサービスへデータを送信する重要なエンジンを担うコンポーネントです。たとえば、ネットワーク上で疑わしい通信が行われた際や、マルウェアと疑われるファイルが作成されたときなどに、素早く情報を検出・解析し、対策を取る手段を提供してくれます。
古いバージョンのリスク
古いバージョンのSense Agentを使っていると、新しい脅威に対する振る舞い検知機能が追随しない、あるいはデバイス情報がクラウドに正常に送信されないなどのトラブルが生じる可能性があります。MDEポータルでの脆弱性管理情報も正しく反映されないケースがあるので、安全性と管理性の両面で不安が残ります。
バージョンが古いままの例
例えば、社内にあるWindows Server 2016の一部が半年以上OSパッチを適用しておらず、その結果MSSense.exeのバージョンが10.8400台と古いまま残っていたとします。この状態でMDEポータルを確認すると、一部のデバイス情報がうまく収集できない、もしくは全体のセキュリティ状態評価が誤って表示されることが報告されています。放置していると、いざインシデントが発生したときに適切な情報が得られず、事態をいち早く把握できないリスクがあります。
Sense Agentのバージョンを確認する方法
MDE Sense Agentのバージョン確認には複数のアプローチがあります。環境の規模や既存で利用している管理ツールに応じて最適な方法を選びましょう。
Advanced Hunting (KQL)での確認
Microsoft 365 Defenderポータル上のAdvanced Huntingを使って、Sense Agentのバージョンが古いデバイスを一括で検出できます。下記はKQLの一例です。
DeviceTvmSoftwareInventory
| where SoftwareVendor has "microsoft" and SoftwareName has "defender_for_endpoint"
| extend MajorVersion = toint(split(SoftwareVersion, '.')[0])
| extend MinorVersion = toint(split(SoftwareVersion, '.')[1])
| where MajorVersion == 10
| where MinorVersion < 8500
| sort by SoftwareVersion
このクエリでは、メジャーバージョンが10、かつマイナーバージョンが8500未満のMSSense.exeを抽出し、ソフトウェアバージョンを昇順で並べます。多くの組織では、MDEポータル内の[ソフトウェア在庫 (Inventory)]を利用して同様の情報を確認することもできます。
WSUS・SCCM・Intuneなどの管理ツールで一覧化
すでにWSUS(Windows Server Update Services)やSCCM(Configuration Manager)、Intuneを導入している場合は、それらの管理ツールからソフトウェアのバージョンを一覧取得する方法もあります。SCCMのCMPivotでMSSense.exeのファイルバージョンを集計したり、Intuneのレポート機能を活用したりすることで、バージョンが古いデバイスを簡単に特定できるでしょう。
実際の事例
たとえば、筆者の会社ではSCCMを導入しており、CMPivotのクエリを使って環境内のMSSense.exeを一度にチェックしました。意外と放置されていたWindows Server 2012 R2が混在していたり、管理外のように扱われていた一部Windows 10端末も見つかりました。こうした棚卸し作業は、セキュリティ対策のきっかけにもなると感じました。
古いバージョンのSense Agentを更新する手順
バージョンが古いSense Agentを最新化するには、次のようなアップデート方法があります。
Windows Updateや月例パッチの適用
Windows Updateを通じて配信される月例パッチには、MSSense.exeの更新が含まれるケースがあります。以下の点に注意しながら実施するとスムーズです。
他のMicrosoft製品の更新を含める設定
Intuneの更新リングで「他のMicrosoft製品の更新を含める」を有効にしておく、あるいはWSUSやSCCMで「Microsoft Defender for Endpoint」製品を同期対象に指定しておくと、Sense Agentの更新プログラムも自動配信されやすくなります。
一方で、オフライン環境の場合は、手動でパッチを入れ込む手間が増えるため、あらかじめ運用ルールを決めておきましょう。
筆者の組織では、WSUSでMicrosoft Defender for Endpoint製品を同期しておらず、最初はアップデートが配信されなくて焦りました。設定を有効にした後は、定例パッチと一緒に自動で更新されるようになり、管理工数が大幅に減った経験があります。
KB5005292などの手動パッケージ(UpdateSense.exe)
Windows Server 2012 R2やWindows Server 2016など、OS自体が古い環境を運用している場合は、Windows UpdateでSense Agentが更新されないケースもあります。そのようなときは、Microsoft Update CatalogからKB5005292(UpdateSense.exe)を入手し、手動でインストールする方法が検討できます。
KBのインポートと適用
SCCMやWSUSに手動インポートして配信することも可能です。先述のように、オフライン環境ではISOイメージなどにKBをまとめ、順次適用する運用ルールを構築しておくと管理が楽になります。
なお、KB5005292は一見するとサーバー向けの更新パッケージと思われがちですが、一部Windows 10/11クライアントにも適用できることが報告されています。
その他のセキュリティ更新(KB503xxxxなど)の適用
Windows 10や11向けには、毎月の品質更新(KB)にMSSense.exe更新が含まれる場合があります。最新のビルドに対応したKB503xxxx系統のパッチノートを確認し、mssense.exeが更新されるかをチェックするのがよいでしょう。
対応するKBの例
運用しているWindowsのエディションやバージョンによって適用すべきKBが異なります。下記は一例です。
| Windowsバージョン | 対応する更新プログラム例 |
|---|---|
| Windows 10 21H2 | KB5030320、KB5030738など |
| Windows 11 22H2 | KB5036909、KB5030219など |
| Windows Server 2016 | KB5030310など |
| Windows Server 2012 R2 | KB5005292(UpdateSense.exe)手動適用など |
こうした表を作成しておくと、運用担当者の混乱が少なくなり、どのKBをいつ適用すればいいのか確認しやすくなります。
Sense Agent更新時の注意点
更新作業は基本的にシンプルですが、いくつかの注意点を押さえておくとトラブルを回避できます。
再起動のタイミング
MSSense.exeの更新のために必ずしも再起動が必要になるわけではありません。しかし、Windows UpdateやKBパッケージを適用するときに同時に他の更新プログラムも入っている場合は、再起動が必要になるケースもあります。運用上は念のため再起動を計画に組み込むのがおすすめです。想定外のタイミングで再起動がかかると、稼働中のサービスに影響が出るかもしれません。
通知の遅延やバグの可能性
MDEポータルのメッセージセンターに「古いSense Agentを更新してください」という通知が出ていても、実際には要件を満たすバージョンにアップデート済みなのに、通知が残り続けるケースが稀に報告されています。逆に、通知が消えたからといってすべて解決したとは限らないこともあります。そのため、KQLクエリやWSUS/SCCM/Intuneレポートを使った実際のバージョン情報確認が重要です。
アップデートがブロックされるケース
一部のセキュリティソフトやカスタム設定によって、Sense Agentのアップデートがブロックされてしまうこともあります。組織のセキュリティポリシーが厳密に定義されている場合や、第三者製のソフトがDefenderコンポーネントを優先度低く扱っている場合などが該当します。もしKBが配信されているにもかかわらず更新されないときは、ポリシー設定や他のウイルス対策ソフトとの競合を疑いましょう。
運用とメンテナンスのベストプラクティス
MDE Sense Agentの更新は一度やったら終わりというわけではなく、継続的にバージョンを把握し、アップデートを適切に適用し続けることが大切です。ここでは、筆者の経験をもとに、長期的な運用のポイントをまとめます。
定期的なバージョン監視の仕組み化
SCCMやIntune、あるいはAzureログAnalyticsを使ってレポートを定期自動作成する方法があります。たとえば週に一度、KQLクエリを自動実行し、結果をメールで通知するように設定しておけば、古いバージョンのデバイスが発見されたタイミングで素早く対処が可能です。
リリースノートのチェック
Windows 10/11の品質更新(KB)には多岐にわたる修正が含まれており、Sense Agentの更新もその中に混ざっている場合があります。マイクロソフトが提供する公式ドキュメントやリリースノート、Excel一覧などでmssense.exeが更新対象に含まれるかどうかを確認してみましょう。
特に大規模環境で稼働している場合、「思っていたタイミングでSense Agentが更新されなかった」という報告もありますので、こまめなドキュメント確認が大事です。
私自身も、ある月例パッチでmssense.exeのバージョンが上がらないと思い込んで放置していたら、翌月の品質更新でまとめて上がるパターンがありました。それ以降はリリースノートを欠かさずチェックするようにしています。
オンボーディングとオフボーディングの手順徹底
新たにPCやサーバーを導入するときは、MDEへのオンボーディング作業の一環としてSense Agentのバージョン確認・アップデートを実行し、常に最新の状態で運用をスタートさせるのがおすすめです。逆に、役目を終えて廃棄やリプレイスされる際は、MDEの管理対象から外してレポート結果に余計な端末が含まれないように整理しておきましょう。
まとめ
MDE Sense Agentのバージョンが古いままだと、十分なセキュリティ対策を施せないだけでなく、MDEポータルの表示情報が正しくなくなる危険があります。特に重大な脆弱性が世の中に出てきたときには、迅速な対処が求められるため、常に最新バージョンを維持することが理想です。
また、メッセージセンターやService Healthで通知が消えてしまっても、実際には古いデバイスが残っている場合もあります。定期的なKQLクエリの実行や、WSUS/SCCM/Intuneなどのレポート機能を活用して、環境全体をきめ細かく監視し、漏れなく更新を適用してください。
執筆者のコメント
私自身、MDEの導入が進んでいる企業のサポートに関わる機会が増えましたが、古いSense Agentによる情報の欠落は意外と見落としがちでした。特にサーバー運用が長期にわたっている環境だと、セキュリティアップデートが後手に回ることもあります。ぜひこの機会に、自社の環境を棚卸ししてみることをおすすめします。
コメント