Microsoft Secure Score の新機能

Microsoft Secure Score をセキュリティ体制をより適切に表すために、引き続き新機能と改善アクションを追加します。

改善アクションが多いほど、セキュリティ スコアが高くなります。 詳細については、「 Microsoft Secure Score」を参照してください。

Microsoft Secure Score は、Microsoft Defender ポータルにありますhttps://security.microsoft.com/securescore。

2024 年 2 月

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されます。

Microsoft Defender for Identity:

• 安全でない ADCS 証明書登録 IIS エンドポイントを編集する (ESC8)

2024 年 1 月

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されました。

Microsoft Entra (AAD):

• 管理者には "フィッシング耐性 MFA 強度" が必要であることを確認します。
• カスタム禁止パスワード リストが使用されていることを確認します。
• "Windows Azure Service Management API" が管理ロールに制限されていることを確認します。

管理 センター:

• [ユーザー所有のアプリとサービス] が制限されていることを確認します。

Microsoft Forms:

• Formsの内部フィッシング保護が有効になっていることを確認します。

Microsoft Share Point:

• SharePoint ゲスト ユーザーが所有していないアイテムを共有できないようにします。

Defender for Cloud Apps では、アプリの複数のインスタンスがサポートされます

Microsoft Defender for Cloud Appsでは、同じアプリの複数のインスタンス間でセキュリティ スコアの推奨事項がサポートされるようになりました。 たとえば、AWS のインスタンスが複数ある場合は、各インスタンスのセキュリティ スコアに関する推奨事項を個別に構成してフィルター処理できます。

詳細については、「 SaaS セキュリティ体制管理 (SSPM) を有効にして管理する」を参照してください。

2023 年 12 月

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されました。

Microsoft Entra (AAD):

• "Microsoft Azure Management" が管理ロールに制限されていることを確認します。

Microsoft Sway:

• organization以外のユーザーと Sways を共有できないようにします。

Microsoft Exchange Online:

• Outlook アドインをインストールするユーザーが許可されていないことを確認します。

Zendesk:

• 2 要素認証 (2FA) を有効にして採用します。
• 管理者、エージェント、エンド ユーザーのパスワード変更に関する通知を送信します。
• IP 制限を有効にします。
• IP 制限をバイパスするように顧客をブロックします。
• 管理者とエージェントは、Zendesk サポート モバイル アプリを使用できます。
• Zendesk 認証を有効にします。
• ユーザーのセッション タイムアウトを有効にします。
• アカウントの想定をブロックします。
• 管理者がパスワードを設定することをブロックします。
• 自動やり直し。

Net ドキュメント:

• netDocument でシングル サインオン (SSO) を採用します。

Meta Workplace:

• Workplace by Meta でシングル サインオン (SSO) を採用します。

Dropbox：

• Web ユーザーの Web セッション タイムアウトを有効にします。

アトラシアン：

• 多要素認証 (MFA) を有効にします。
• シングル サインオン (SSO) を有効にします。
• 強力なパスワード ポリシーを有効にします。
• Web ユーザーのセッション タイムアウトを有効にします。
• [パスワードの有効期限ポリシー] を有効にします。
• Atlassian モバイル アプリのセキュリティ - ポリシーの影響を受けるユーザー。
• Atlassian モバイル アプリのセキュリティ - アプリ データ保護。
• Atlassian モバイル アプリのセキュリティ - アプリ アクセス要件。

Microsoft Defender for Identity: 新しい Active Directory Certificate Services (ADCS) 関連の推奨事項:

• 証明書テンプレートで推奨されるアクション :
  • ユーザーが証明書テンプレートに基づいて任意のユーザーに有効な証明書を要求できないようにする (ESC1)
  • 特権 EKU (Any purpose EKU または No EKU) を使用して過度に制限された証明書テンプレートを編集する (ESC2)
  • 正しく構成されていない登録エージェント証明書テンプレート (ESC3)
  • 正しく構成されていない証明書テンプレート ACL を編集する (ESC4)
  • 正しく構成されていない証明書テンプレートの所有者を編集する
• 証明機関で推奨されるアクション :
  • 脆弱な証明機関の設定を編集する
  • 正しく構成されていない証明機関 ACL の編集 (ESC7)
  • RPC 証明書登録インターフェイスに暗号化を適用する (ESC8)

詳細については、「Microsoft Defender for Identityのセキュリティ体制評価」を参照してください。

2023 年 10 月:

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されました。

Microsoft Entra (AAD):

• 管理者には "フィッシング耐性 MFA 強度" が必要であることを確認します。
• カスタム禁止パスワード リストが使用されていることを確認します。

Microsoft Sway:

• organization以外のユーザーと Sways を共有できないようにします。

アトラシアン：

• 多要素認証 (MFA) を有効にします。
• シングル サインオン (SSO) を有効にします。
• 強力なパスワード ポリシーを有効にします。
• Web ユーザーのセッション タイムアウトを有効にします。
• [パスワードの有効期限ポリシー] を有効にします。
• Atlassian モバイル アプリのセキュリティ - ポリシーの影響を受けるユーザー。
• Atlassian モバイル アプリのセキュリティ - アプリ データ保護。
• Atlassian モバイル アプリのセキュリティ - アプリ アクセス要件。

2023 年 9 月:

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されました。

Microsoft Information Protection:

• Microsoft 365 監査ログ検索が有効になっていることを確認します。
• Microsoft Teams で DLP ポリシーが有効になっていることを確認します。

Exchange Online:

• すべての Exchange ドメインに対して SPF レコードが発行されていることを確認します。
• Exchange Onlineの先進認証が有効になっていることを確認します。
• エンド ユーザーに対してメール ヒントが有効になっていることを確認します。
• すべてのユーザーのメールボックス監査が有効になっていることを確認します。
• Outlook on the webで追加のストレージ プロバイダーが制限されていることを確認します。

Microsoft Defender for Cloud Apps:

• Microsoft Defender for Cloud Appsが有効になっていることを確認します。

Office のMicrosoft Defender:

• Exchange Onlineスパム ポリシーが管理者に通知するように設定されていることを確認します。
• すべての形式のメール転送がブロックまたは無効になっていることを確認します。
• Office アプリケーションの安全なリンクが有効になっていることを確認します。
• 安全な添付ファイル ポリシーが有効になっていることを確認します。
• フィッシング対策ポリシーが作成されていることを確認します。

2023 年 8 月

Microsoft Secure Score の改善アクションとして、次の推奨事項が追加されました。

Microsoft Information Protection:

• Microsoft 365 監査ログ検索が有効になっていることを確認します。

Microsoft Exchange Online:

• Exchange Onlineの先進認証が有効になっていることを確認します。
• Exchange Onlineスパム ポリシーが管理者に通知するように設定されていることを確認します。
• すべての形式のメール転送がブロックまたは無効になっていることを確認します。
• エンド ユーザーに対してメール ヒントが有効になっていることを確認します。
• すべてのユーザーのメールボックス監査が有効になっていることを確認します。
• Outlook on the webで追加のストレージ プロバイダーが制限されていることを確認します。

Microsoft Entra ID:

Office 365 コネクタで次の新しいMicrosoft Entra コントロールを表示するには、[アプリ コネクタの設定] ページでMicrosoft Defender for Cloud Appsを有効にする必要があります。

• オンプレミスの Active Directoryに対してパスワード保護が有効になっていることを確認します。
• [LinkedIn アカウント接続] が無効になっていることを確認します。

Sharepoint：

• Office アプリケーションの安全なリンクが有効になっていることを確認します。
• SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルが有効になっていることを確認します。
• フィッシング対策ポリシーが作成されていることを確認します。

Office 365 コネクタで次の新しい SharePoint コントロールを表示するには、[アプリ コネクタの設定] ページでMicrosoft Defender for Cloud Appsを有効にする必要があります。

• SharePoint 外部共有がドメイン許可リスト/ブロックリストを通じて管理されていることを確認します。
• 非管理対象デバイスからのOneDrive for Business同期をブロックします。

Microsoft Secure Score と Microsoft Lighthouse 365 の統合

Microsoft 365 Lighthouseは、マネージド サービス プロバイダー (MSP) がビジネスを成長させ、1 つのポータルから大規模なサービスを顧客に提供するのに役立ちます。 Lighthouse を使用すると、構成の標準化、リスクの管理、人工知能 (AI) 主導の販売機会の特定、Microsoft 365 への投資の最大化に役立つ顧客とのエンゲージメントを実現できます。

Microsoft Secure Score をMicrosoft 365 Lighthouseに統合しました。 この統合により、すべてのマネージド テナントにわたるセキュリティ スコアの集計ビューと、個々のテナントのセキュリティ スコアの詳細が提供されます。 Secure Score へのアクセスは、Lighthouse ホームページの新しいカードから、または Lighthouse テナント ページでテナントを選択することで利用できます。

注:

Microsoft Lighthouse 365 との統合は、クラウド ソリューション プロバイダー (CSP) プログラムを使用して顧客テナントを管理する Microsoft パートナーが利用できます。

Microsoft Secure Score アクセス許可とMicrosoft Defender XDR統合ロールベースのアクセス制御 (RBAC) の統合がパブリック プレビューになりました

以前は、グローバル ロールMicrosoft Entra (グローバル管理者など) のみが Microsoft Secure Score にアクセスできました。 これで、Microsoft Defender XDR統合 RBAC モデルの一部として、アクセスを制御し、Microsoft Secure Score エクスペリエンスの詳細なアクセス許可を付与できます。

ロールの作成時に [ セキュリティ体制 のアクセス許可] グループを選択することで、新しいアクセス許可を追加し、ユーザーがアクセスできるデータ ソースを選択できます。 詳細については、「Microsoft Defender XDR統合 RBAC を使用したカスタム ロールのCreate」を参照してください。 ユーザーには、アクセス許可を持つデータ ソースのセキュア スコア データが表示されます。

新しいデータ ソース のセキュリティ スコア – 追加のデータ ソース も使用できます。 このデータ ソースに対するアクセス許可を持つユーザーは、セキュリティ スコア ダッシュボード内の追加データにアクセスできます。 その他のデータ ソースの詳細については、「 Secure Score に含まれる製品」を参照してください。

2023 年 7 月

Microsoft Secure Score の改善アクションとして、次のMicrosoft Defender for Identity推奨事項が追加されました。

• ドメイン内のアカウントから属性 'password never expires' を削除します。
• 管理 SDHolder アクセス許可を使用して、疑わしいアカウントのアクセス権を削除します。
• 180 日を超えるパスワードでアカウントを管理します。
• ID 資産のローカル管理者を削除します。
• DCSync アクセス許可を持つ管理者以外のアカウントを削除します。
• Defender for Identity の展開を開始し、ドメイン コントローラーやその他の適格なサーバーにセンサーをインストールします。

Microsoft Secure Score の改善アクションとして、次の Google ワークスペースの推奨事項が追加されました。

• 多要素認証を有効にする (MFA)

この新しいコントロールを表示するには、Microsoft Defender for Cloud Appsの Google ワークスペース コネクタを [アプリ コネクタの設定] ページで構成する必要があります。

2023 年 5 月

新しいMicrosoft Exchange Onlineレコメンデーションが、セキュリティ スコア改善アクションとして使用できるようになりました。

• メール トランスポート ルールで特定のドメインが許可されないようにします。

新しい Microsoft SharePoint の推奨事項は、セキュリティ スコアの改善アクションとして使用できるようになりました。

• SharePoint アプリケーションの先進認証が必要であることを確認します。
• 外部ユーザーが所有していないファイル、フォルダー、サイトを共有できないようにします。

2023 年 4 月

アクティブなMicrosoft Defender for Cloud Apps ライセンスをお持ちのお客様向けに、Microsoft Secure Score で新しい推奨事項を利用できるようになりました。

• 組織で管理または承認されたパブリック グループのみが存在することを確認します。
• サインイン頻度が有効になっており、管理ユーザーのブラウザー セッションが永続的ではないことを確認します。
• 管理アカウントが個別、割り当て解除、クラウド専用であることを確認します。
• サード パーティの統合アプリケーションが許可されていないことを確認します。
• 管理者の同意ワークフローが有効になっていることを確認します。
• Microsoft Teams で DLP ポリシーが有効になっていることを確認します。
• すべての Exchange ドメインに対して SPF レコードが発行されていることを確認します。
• Microsoft Defender for Cloud Appsが有効になっていることを確認します。
• モバイル デバイス管理ポリシーが、基本的なインターネット攻撃から保護するために高度なセキュリティ構成を必要とするように設定されていることを確認します。
• モバイル デバイスのパスワードの再利用が禁止されていることを確認します。
• モバイル デバイスがパスワードの有効期限切れにならないように設定されていることを確認します。
• 脱獄またはルート化されたデバイスからユーザーが接続できないようにします。
• ブルート フォース侵害を防ぐために、複数のサインイン エラーでモバイル デバイスがワイプされるように設定されていることを確認します。
• ブルート フォース攻撃を防ぐために、モバイル デバイスでパスワードの最小長が必要であることを確認します。
• 一定の非アクティブ期間が経過した後にデバイスがロックされていることを確認して、不正なアクセスを防ぎます。
• モバイル データへの不正アクセスを防ぐために、モバイル デバイスの暗号化が有効になっていることを確認します。
• モバイル デバイスで複雑なパスワードが必要であることを確認します (型 = 英数字)。
• モバイル デバイスで複雑なパスワードが必要であることを確認します (簡易パスワード = ブロック)。
• 接続しているデバイスで AV とローカル ファイアウォールが有効になっていることを確認します。
• 電子メール プロファイルにモバイル デバイス管理ポリシーが必要であることを確認します。
• モバイル デバイスでパスワードを使用する必要があることを確認します。

注:

新しい Defender for Cloud Apps の推奨事項を表示するには、Microsoft Defender for Cloud AppsのOffice 365 コネクタを [アプリ コネクタの設定] ページでオンに切り替える必要があります。 詳細については、「Office 365を Defender for Cloud Apps に接続する方法」を参照してください。

2022 年 9 月

フィッシング対策ポリシーに関する新しいMicrosoft Defender for Office 365推奨事項が、セキュリティ スコア改善アクションとして利用できるようになりました。

• フィッシング メール レベルのしきい値を 2 以上に設定します。
• 偽装されたユーザー保護を有効にします。
• 偽装されたドメイン保護を有効にします。
• メールボックス インテリジェンスが有効になっていることを確認します。
• 偽装保護のインテリジェンスが有効になっていることを確認します。
• 偽装されたユーザーから検出されたメッセージを検疫します。
• 偽装されたドメインから検出されたメッセージを検疫します。
• メールボックス インテリジェンスによって偽装ユーザーとして検出されたメッセージを移動します。
• [最初の連絡先の安全ヒントを表示する] オプションを有効にします。
• ユーザー偽装の安全ヒントを有効にします。
• ドメイン偽装の安全性に関するヒントを有効にします。
• ユーザー偽装の通常とは異なる文字の安全ヒントを有効にします。

新しい SharePoint Online の推奨事項は、セキュリティ スコアの改善アクションとして使用できるようになりました。

• SharePoint Online で非アクティブなユーザーをサインアウトします。

2022 年 8 月

新しいMicrosoft Purview 情報保護推奨事項は、セキュリティ スコアの改善アクションとして使用できるようになりました。

• ラベル付け
  • Azure Purview データ マップ内の資産に Microsoft 365 秘密度ラベル付けを拡張します。
  • 自動ラベル付けデータ分類ポリシーが設定され、使用されていることを確認します。
  • Microsoft 365 秘密度ラベルのデータ分類ポリシーを発行します。
  • Createデータ損失防止 (DLP) ポリシー。

セキュリティ スコアの改善アクションとして、新しいMicrosoft Defender for Office 365の推奨事項を使用できるようになりました。

• スパム対策 - 受信ポリシー

  • 電子メールの一括苦情レベル (BCL) のしきい値を 6 以下に設定します。
  • スパム検出に対して実行するアクションを設定します。
  • 信頼度の高いスパム検出に対して実行するアクションを設定します。
  • フィッシング検出に対して実行するアクションを設定します。
  • 信頼度の高いフィッシング検出に対して実行するアクションを設定します。
  • 一括スパム検出に対して実行するアクションを設定します。
  • スパムを検疫に 30 日間保持します。
  • スパムの安全性に関するヒントが有効になっていることを確認します。
  • スパム対策ポリシーの許可されるドメインの一覧に送信者ドメインがないことを確認します ("スパム対策ポリシーで許可されている送信者ドメインがないことを確認する" に置き換えて、特定の送信者についても機能を拡張します)。

• スパム対策 - 送信ポリシー

  • ユーザーが 1 時間あたりにメールを送信できる外部受信者の最大数を設定します。
  • ユーザーが 1 時間以内に送信できる内部受信者の最大数を設定します。
  • 1 日のメッセージの上限を設定します。
  • メッセージ制限に達したユーザーをブロックします。
  • 自動メール転送ルールをシステム制御に設定します。

• スパム対策 - 接続フィルター

  • 接続フィルター ポリシーに許可される IP アドレスを追加しないでください。

2022 年 6 月

• 新しいMicrosoft Defender for EndpointとMicrosoft Defender 脆弱性の管理の推奨事項は、セキュリティ スコア改善アクションとして使用できるようになりました。

  • 共有へのオフライン アクセスを禁止します。
  • [共有の書き込みアクセス許可を削除する ] を [すべてのユーザー] に設定します。
  • ルート フォルダーから共有を削除します。
  • 共有のフォルダー アクセス ベースの列挙を設定します。
  • コア コンポーネントMicrosoft Defender for Endpoint更新します。

• セキュリティ スコアの改善アクションとして、新しいMicrosoft Defender for Identityの推奨事項を使用できます。

  • セキュリティで保護されていないドメイン構成を解決します。

• セキュリティ スコアの改善アクションとして、新しい アプリ ガバナンス の推奨事項を使用できるようになりました。

  • 優先度アカウントからの同意を得てアプリを規制する。

• 新しい Salesforce と ServiceNow のレコメンデーションが、Microsoft Defender for Cloud Appsのお客様に対するセキュリティ スコア改善アクションとして利用できるようになりました。 詳細については、「 SaaS セキュリティ体制管理の概要」を参照してください。

注:

Salesforce コントロールと ServiceNow コントロールがパブリック プレビューで使用できるようになりました。

2022 年 4 月

• リモート接続のユーザー認証を有効にします。

2021 年 12 月

• ブロック モードで安全な添付ファイルを有効にします。
• 予定表の詳細Exchange Online外部ユーザーと共有しないようにします。
• Office クライアントの安全なドキュメントを有効にします。
• マルウェア対策ポリシーの一般的な添付ファイル フィルター設定を有効にします。
• スパム対策ポリシーに許可されている送信者ドメインがないことを確認します。
• 電子メール メッセージの安全なリンク ポリシーをCreateします。
• マルウェアの 0 時間自動消去ポリシーをCreateします。
• SharePoint、OneDrive、Microsoft Teams でMicrosoft Defender for Office 365を有効にします。
• フィッシング メッセージの 0 時間自動消去ポリシーをCreateします。
• スパム メッセージの 0 時間自動消去ポリシーをCreateします。
• 悪用された脆弱な署名されたドライバーの悪用をブロックします。
• フル スキャン中にリムーバブル ドライブのスキャンを有効にします。

ご意見をお聞かせください。

問題がある場合は、 セキュリティ、プライバシー & コンプライアンス コミュニティに投稿して、お知らせください。 コミュニティを監視して支援を提供しています。

関連リソース

• セキュリティ体制にアクセス
• Microsoft Secure Score の履歴を追跡し、目標を達成する
• 今後の予定

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。