Defender CSPM を使用してリソースを保護する
Microsoft Defender for Cloud のクラウド セキュリティ態勢管理 (CSPM) には、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが用意されています。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。
Defender for Cloud は、セキュリティの問題について、リソース、サブスクリプション、組織を継続的に評価します。 Defender for Cloud は、セキュリティ スコアでセキュリティ態勢を示します。 セキュリティ スコアは、現在のセキュリティ状況を示すセキュリティ結果の集計スコアです。 スコアが高いほど、特定されたリスク レベルは低くなります。
Defender for Cloud を有効にすると、基本的な CSPM 機能が自動的に有効になります。 これらの機能は、Defender for Cloud によって提供される無料サービスの一部です。
ガバナンス、規制コンプライアンス、クラウド セキュリティ エクスプローラー、攻撃パス分析、マシンのエージェントレス スキャンなどの環境に対する追加の保護が提供される Defender CSPM プランを有効にできます。
Note
エージェントレス スキャンでは、サブスクリプション所有者が Defender CSPM プランを有効にする必要があります。 承認レベルが低いユーザーは、Defender CSPM プランを有効にできますが、アクセス許可が不足しているため、エージェントレス スキャナーは既定では有効になりません。サブスクリプション所有者しか有効にできません。 また、エージェントレス スキャナーが無効になっているため、攻撃パス分析とセキュリティ エクスプローラーによる脆弱性の設定は行われません。
誰が利用できるか、また各プランで提供される機能の詳細については、Defender CSPM プランのオプションに関するページを参照してください。
Defender CSPM の価格の詳細については、価格に関するページを参照してください。
前提条件
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
Azure 以外のマシン、AWS アカウント、または GCP プロジェクトを接続します。
CSPM プランから使用可能なすべての機能にアクセスするには、サブスクリプション所有者がプランを有効にする必要があります。
Defender CSPM プランを有効にする
Defender for Cloud を有効にすると、基本的な CSPM 機能によって提供される保護を自動的に受けられるようになります。 Defender CSPM によって提供される他の機能にアクセスするには、サブスクリプションで Defender CSPM プランを有効にする必要があります。
サブスクリプションで Defender CSPM プランを有効にするには:
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連する Azure サブスクリプション、AWS アカウント、または GCP プロジェクトを選択します。
[Defender プラン] ページで、[Defender CSPM プラン] を [オン] に切り替えます。
[保存] を選択します。
Defender CSPM プランのコンポーネントを有効にする
サブスクリプションで Defender CSPM プランを有効にすると、Defender CSPM プランの個々のコンポーネントを有効にすることができます:
マシンのエージェントレスのスキャン: エージェントに依存したり、マシンのパフォーマンスに影響を与えたりすることなく、マシンにインストールされているソフトウェアと脆弱性をスキャンします。 エージェントレス スキャナーを無効にするか、サブスクリプションに除外タグを追加できます。
Kubernetes のエージェントレス検出: Kubernetes クラスターのアーキテクチャ、ワークロード オブジェクト、セットアップに関する情報を API ベースで検出します。 Kubernetes インベントリ、ID とネットワークの露出検出、クラウド セキュリティ エクスプローラーの一部としてのリスク ハンティングに必要です。 この拡張機能は、攻撃パス分析 (Defender CSPM のみ) に必要です。
エージェントレス コンテナーの脆弱性評価: コンテナー レジストリに格納されているイメージの脆弱性管理を提供します。
機密データの検出: 機密データ検出では、機密データを含むマネージド クラウド データ リソースが大規模に自動的に検出されます。 この機能は、データにアクセスし、エージェントレスであり、スマート サンプリング スキャンを使用し、Microsoft Purview の機密情報の種類とラベルと統合します。
アクセス許可管理 - クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) に関する深い分析情報。 CIEM は、クラウド環境での適切で安全な ID とアクセス権を保証します。 クラウド リソースへのアクセス許可と関連するリスクを把握するのに役立ちます。 セットアップとデータ収集には最大 24 時間かかる場合があります。
Defender CSPM プランのコンポーネントを有効にするには:
[Defender プラン] ページで、[設定] を選択します。
![設定オプションを選択する場所を示す [Defender プラン] ページのスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-settings.png)
コンポーネントごとに [オン] を選択して有効にします。
(省略可能) エージェントレス スキャンの場合は、[構成の編集] を選択します。
![[構成の編集] を選択する場所を示すスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-configuration.png)
スキャンから除外するマシンのタグ名とタグ値を入力します。
[適用] を選択します。
続行を選択します。
![設定オプションを選択する場所を示す [Defender プラン] ページのスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-settings.png#lightbox)
![[構成の編集] を選択する場所を示すスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-configuration.png#lightbox)
追加コストなしで Defender CSPM プランに付属する、コードからクラウドへのコンテキスト化機能と自動化された開発者修復ワークフローを使用するには、Defender for Cloud に DevOps 環境を接続します。