Microsoft Defender for Cloud とは

Microsoft Defender for Cloud とは、Azure、オンプレミス、マルチクラウド (Amazon AWS および Google GCP) のすべてのリソース用のクラウド セキュリティ態勢管理 (CSPM) と クラウド ワークロード保護プラットフォーム (CWPP) です。 クラウドとオンプレミスでリソースとワークロードのセキュリティを管理する場合、Defender for Cloud は 3 つの重要なニーズを満たします。

Understanding the core functionality of Microsoft Defender for Cloud.

  • Defender for Cloud のセキュリティ スコアにより、セキュリティ態勢が継続的に評価されて、新しいセキュリティの機会を追跡し、セキュリティ作業の進行状況を正確に報告できるようにします。
  • Defender for Cloud の推奨事項により、既知のセキュリティ リスクからワークロードを保護する段階的なアクションを使用してワークロードがセキュリティで保護されます。
  • Defender for Cloud のアラートにより、ワークロードがリアルタイムで防御されるため、すぐに対応して、セキュリティ イベントの進展を防ぐことができます。

Defender for Cloud の段階的なチュートリアルについては、この対話型チュートリアルを参照してください。

フィールドから学んだ教訓」を視聴することで、Defender for Cloud に関するサイバーセキュリティの専門家からの詳細情報を参照できます。

リソースを保護し、セキュリティの進行状況を追跡する

Microsoft Defender for Cloud の機能は、クラウド セキュリティの 2 つの大きな柱であるクラウド ワークロード保護プラットフォーム (CWPP) とクラウド セキュリティ態勢管理 (CSPM) に対応しています。

CSPM - セキュリティの問題を修復し、セキュリティ態勢の改善を監視する

Defender for Cloud では、体制管理機能によって次の機能が提供されます。

  • 強化ガイダンス - セキュリティの効率的かつ効果的な向上に役立ちます
  • 可視性 - 現在のセキュリティ状況の把握に役立ちます

Defender for Cloud は、セキュリティの問題についてリソース、サブスクリプション、および組織を継続的に評価し、現在のセキュリティ状況をひとめで確認できるセキュリティ結果の集計スコアであるセキュリティ スコアでセキュリティ態勢を表示します。スコアが高いほど、特定されたリスク レベルが低くなります。

Defender for Cloud を初めて開くとすぐに、Defender for Cloud によって次の作業が行われます。

  • Azure セキュリティ ベンチマークのガイダンスと比較して、接続されているリソースの評価に基づいてサブスクリプションのセキュリティ スコアを生成します。 スコアを使用してセキュリティ体制を理解し、コンプライアンス ダッシュボードを使用して、組み込みのベンチマークへの準拠を確認します。 強化されたセキュリティ機能を有効にした場合は、コンプライアンスの評価に使用される標準をカスタマイズしたり、他の規制 (NIST や Azure CIS など) や組織固有のセキュリティ要件を追加したりできます。 また、レコメンデーションを適用し、AWS の基本セキュリティ ベスト プラクティス標準に基づいてスコア付けすることもできます。

  • 任意の特定されたセキュリティの誤った構成と弱点に基づいて、強化の推奨事項を提供します。 これらのセキュリティに関するレコメンデーションを使用して、組織の Azure、ハイブリッド、マルチクラウドのリソースのセキュリティ態勢を強化します。

セキュリティ スコアの詳細

CWP - 固有のワークロードセキュリティ要件を特定する

Defender for Cloud には、Microsoft Threat Intelligence を利用したセキュリティ アラートが用意されています。 また、ワークロードに対する高度でインテリジェントな、さまざまな保護も含まれています。 ワークロード保護は、サブスクリプション内のリソースの種類に固有の Microsoft Defender プランを通じて提供されます。 たとえば、Microsoft Defender for Storage を有効にして、ご使用のストレージ リソースに関連する不審なアクティビティに関するアラートを受け取ることができます。

すべてのリソースをまとめて保護する

Defender for Cloud は Azure ネイティブ サービスであるため、多くの Azure サービスはデプロイを必要とせずに監視および保護されますが、オンプレミスまたは他のパブリック クラウドにあるリソースを追加することもできます。

必要に応じて、Defender for Cloud で Log Analytics エージェントを自動的にデプロイして、セキュリティ関連のデータを収集できます。 Azure マシンの場合、デプロイは直接処理されます。 ハイブリッドおよびマルチクラウドの環境では、Microsoft Defender プランは Azure Arc を使用して Azure 以外のマシンに拡張されます。CSPM の機能は、エージェントを必要とせずにマルチクラウド マシンに拡張されます (「他のクラウドで実行されているリソースを保護する」を参照してください)。

Azure ネイティブ リソースを防御する

Defender for Cloud は、次の脅威を検出するのに役立ちます。

  • Azure PaaS サービス - Azure App Service、Azure SQL、Azure Storage アカウント、その他のデータ サービスを含む Azure サービスを対象とした脅威を検出できます。 Microsoft Defender for Cloud Apps (旧称: Microsoft Cloud App Security) とのネイティブ統合を使用して、Azure アクティビティ ログで異常検出を実行することもできます。

  • Azure データ サービス - Defender for Cloud には、Azure SQL でデータを自動的に分類するのに役立つ機能が含まれています。 また、Azure SQL と Storage サービス全体の潜在的な脆弱性の評価と、それらを緩和する方法の推奨事項を取得することもできます。

  • Networks - Defender for Cloud は、ブルートフォース攻撃への露出を制限するために役立ちます。 Just-In-Time VM アクセスを使用して仮想マシン ポートへのアクセスを減らすことにより、不要なアクセスを防止してネットワークを強化することができます。 許可されたユーザー、許可されたソース IP アドレスの範囲または IP アドレス、および制限された期間にのみ、選択したポートに対するセキュリティで保護されたアクセス ポリシーを設定することができます。

オンプレミスのリソースを防御する

Azure 環境を保護するだけでなく、Defender for Cloud の機能をハイブリッド クラウド環境に追加して、Azure 以外のサーバーを保護することもできます。 最も重要な問題に専念できるように、特定の環境に応じてカスタマイズされた脅威インテリジェンスと優先順位が付けられたアラートを取得します。

オンプレミスのマシンに保護を拡張するには、Azure Arc をデプロイし、Defender for Cloud の強化されたセキュリティ機能を有効にしてください。 詳細については、「Azure Arc を使用して Azure 以外のマシンを追加する」をご覧ください。

他のクラウドで実行されているリソースを保護する

Defender for Cloud を使用すると、他のクラウド (AWS や GCP など) 内のリソースを保護できます。

たとえば、Azure サブスクリプションにアマゾン ウェブ サービス (AWS) アカウントを接続している場合は、次のいずれかの保護を有効にすることができます。

  • Defender for Cloud の CSPM 機能が、AWS リソースまで拡張されています。 このエージェントレス プランでは、AWS 固有のセキュリティの推奨事項に従って AWS リソースを評価します。これは、セキュリティ スコアに含まれています。 これらのリソースは、AWS (AWS CIS、AWS PCI DSS、および AWS の基本的なセキュリティのベスト プラクティス) に固有の組み込み標準に準拠しているかについても評価されます。 Defender for Cloud の資産インベントリ ページは、Azure リソースと AWS リソースを合わせて管理するのに役立つマルチクラウド対応機能です。
  • Microsoft Defender For Kubernetes のコンテナーの脅威検出と高度な防御が Amazon EKS Linux クラスターまで拡張されました。
  • Microsoft Defender for Servers を使用することで、お使いの Windows と Linux の EC2 インスタンスに脅威検出および高度な防御を利用できるようになります。 このプランには、Microsoft Defender for Endpoint の統合ライセンス、セキュリティ ベースラインと OS レベルの評価、脆弱性評価スキャン、適応型アプリケーション制御 (AAC)、ファイルの整合性の監視 (FIM) などが含まれます。

詳細については、AWSGCP のアカウントを Microsoft Defender for Cloud に接続するに関する記事を参照してください。

脆弱性が悪用される前に脆弱性を閉じる

Focus on the assessment features of Microsoft Defender for Cloud.

Defender for Cloud には、強化されたセキュリティ機能の一部として、仮想マシン、コンテナー レジストリ、SQL サーバーの脆弱性評価ソリューションが含まれています。 一部のスキャナーは Qualys を搭載しています。 しかし、Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。

Microsoft Defender for Servers には、Microsoft Defender for Endpoint との、自動的でネイティブな統合機能が備わっています。 詳細については、「Defender for Cloud の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください。 この統合を有効にした場合は、Microsoft の脅威と脆弱性の管理から脆弱性の検出結果にアクセスできるようになります。 詳細については、「Microsoft Defender for Endpoint の脅威と脆弱性の管理を使用して弱点を調査する」を参照してください。

これらの脆弱性スキャナーの結果を確認し、すべての結果に対して Defender for Cloud 内から対応します。 この広範なアプローチにより、Defender for Cloud は、すべてのクラウド セキュリティの取り組みの 1 つのウィンドウに近づいています。

詳細については、次のページを参照してください。

トップダウンでセキュリティ ポリシーを適用する

Focus on the 'secure' features of Microsoft Defender for Cloud.

これは、ワークロードがセキュリティで保護されていることを把握し、確実にするための基本的なセキュリティです。まず、セキュリティ ポリシーを適切に調整して配置することから始めます。 Defender for Cloud のポリシーは Azure Policy 制御を基礎にして構築されているため、世界レベルのポリシー ソリューションのすべての範囲と柔軟性を利用できます。 Defender for Cloud では、管理グループ、サブスクリプション全体、さらにはテナント全体に対して実行するようにポリシーを設定できます。

Defender for Cloud は、ワークロード全体にデプロイされている新しいリソースを継続的に検出し、セキュリティのベスト プラクティスに従って構成されているかどうかを評価します。 フラグが設定されていない場合には、フラグが設定され、修正する必要がある推奨事項の優先順位付きの一覧が表示されます。 推奨事項を利用すると、各リソースの攻撃対象領域を減らすことができます。

推奨事項の一覧は、Azure セキュリティ ベンチマークにより有効になり、サポートされます。 この Microsoft が作成した、Azure 固有のベンチマークは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するガイドラインのセットを提供します。 詳細については、「Azure セキュリティ ベンチマークの概要」を参照してください。

このように、Defender for Cloud では、セキュリティ ポリシーを設定するだけでなく、セキュリティで保護された構成基準をリソース全体に適用することができます

Defender for Cloud recommendation example.

Defender for Cloud では、全体的なセキュリティ体制に対する各推奨事項の重要度が理解しやすいよう、推奨事項がセキュリティ コントロールにグループ化され、各コントロールにはセキュア スコア値が追加されます。 これは、セキュリティ作業の優先度付けを可能にするうえで重要です。

Defender for Cloud secure score.

Defender プランと外部監視を使用して Defender for Cloud を拡張する

Focus on the 'defend'' features of Microsoft Defender for Cloud.

次の方法で Defender for Cloud 保護を拡張できます。

  • 仮想マシン、SQL データベース、コンテナー、web アプリケーション、ネットワークなどの高度な脅威保護機能 - 保護には、ジャスト インタイム アクセス適応型アプリケーション制御を使用した、VM の管理ポートのセキュリティ保護が含まれます。これにより、コンピューター上で実行すべきアプリや実行する必要がないアプリを示す許可リストが作成されます。

Microsoft Defender for Cloud の Defender プランには、環境のコンピューティング、データ、サービスのレイヤーに対して次のような包括的な防御が用意されています。

ワークロード保護ダッシュボードの [高度な保護] タイルを使用して、これらの保護をそれぞれ監視し、構成します。

ヒント

Microsoft Defender for IoT は、個別の製品です。 詳細については、「Microsoft Defender for IoT の概要」を参照してください。

  • [セキュリティのアラート] - Defender for Cloud によって環境のいずれかの領域で脅威が検出されると、セキュリティ アラートが生成されます。 これらのアラートでは、影響を受けるリソースや推奨される修復手順の詳細と、場合によっては、ロジック アプリを応答でトリガーするオプションが示されます。 アラートが Defender for Cloud によって生成されたか、統合セキュリティ製品から Defender for Cloud によって受信されたかにかかわらず、アラートをエクスポートできます。 アラートを Microsoft Sentinel、サードパーティの SIEM、またはその他の外部ツールにエクスポートする場合は、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」の手順に従ってください。 Defender for Cloud の脅威の防止機能には、サイバー キルチェーン分析に基づいて環境内のアラートを自動的に相関させるフュージョン キルチェーン分析が含まれており、攻撃キャンペーンの詳細 (開始点、リソースに対する影響の種類) を詳細に把握することができます。 Defender for Cloud でサポートされているキル チェーンの意図は、MITRE ATT&CK マトリックスのバージョン 9 に基づいています

詳細

次のブログもご覧ください。

次のステップ

  • Defender for Cloud を使用するには、Microsoft Azure のサブスクリプションが必要です。 サブスクリプションをお持ちでない場合には、試用版にサインインしてください。

  • Azure portal の Defender for Cloud ページに初めてアクセスするとき、または REST API を使用してプログラムで有効にすると、現在のすべての Azure サブスクリプションで、Defender for Cloud の無料プランが有効になります。 高度なセキュリティ管理と脅威検出の機能を利用するには、強化されたセキュリティ機能 を有効にする必要があります。 これらの機能は、最初の 30 日間は無料です。 価格の詳細について確認してください

  • 強化されたセキュリティ機能を今すぐ有効にする準備ができている場合は、「クイック スタート: 強化されたセキュリティ機能を有効にする」の手順に従ってください。