Microsoft Defender for Cloudは、クラウドベースのアプリケーションをさまざまなサイバー脅威や脆弱性から保護するように設計されたセキュリティ対策とプラクティスを含む、クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) です。 Defender for Cloud には、次のものが含まれます。
- マルチクラウド環境とマルチパイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション
- 侵害を防ぐためのアクションを識別するクラウド セキュリティ体制管理 (CSPM) ソリューション
- サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードの保護を備えたクラウド ワークロード保護プラットフォーム (CWPP)
注
Defender for Cloud の価格情報については、価格ページをご覧ください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
Microsoft 365 Defender ポータルは、セキュリティ チームがクラウド リソース、デバイス、ID に対する攻撃を調査するのに役立ちます。 Microsoft 365 Defender は、クラウド環境での疑わしいイベントや悪意のあるイベントなど、攻撃の概要を提供します。 Microsoft 365 Defender は、クラウドアラートやインシデントを含むすべてのアラートとインシデントを関連付けることでこれを実現します。
Microsoft Defender for Cloud と Microsoft Defender XDR の統合の詳細について説明します。
セキュリティで保護されたクラウド アプリケーション
Defender for Cloud は、ソフトウェア開発プロセスの早い段階で適切なセキュリティ プラクティス (DevSecOps) を組み込むのに役立ちます。 コード管理環境とコード パイプラインを保護し、開発環境のセキュリティ体制に関する分析情報を 1 つの場所から取得できます。 Defender for Cloud を使用すると、セキュリティ チームは複数のパイプライン環境で DevOps のセキュリティを管理できます。
今日のアプリケーションでは、デプロイされたアプリケーションが攻撃に対して確実に強化されるように、コード、インフラストラクチャ、ランタイムの各レベルでセキュリティ意識を持つ必要があります。
| 機能 | 解決される問題 | 作業の開始 | Defender プラン |
|---|---|---|---|
| コード パイプラインの分析情報 | これによりセキュリティ チームは、GitHub、Azure DevOps、GitLab などのマルチパイプライン環境全体で、コードからクラウドまでのアプリケーションとリソースを保護できます。 DevOps のセキュリティ調査結果 (コードとしてのインフラストラクチャ (IaC) の構成の誤りや、暴露されたシークレットなど) を他のコンテキスト クラウド セキュリティ分析情報と関連付けて、コード内の修復に優先順位を付けることができます。 | Azure DevOps、GitHub、GitLab リポジトリを Defender for Cloud に接続する | 基本的な CSPM (無料) と Defender CSPM |
セキュリティ体制を改善する
クラウドとオンプレミスのリソースのセキュリティは、適切な構成とデプロイに依存します。 Defenders for Cloud の推奨事項では、環境をセキュリティで保護するための手順を特定します。
Defender for Cloud には、無料の基本 CSPM 機能が含まれています。 Defender CSPM プランで高度な CSPM 機能を有効にします。
| 機能 | 解決される問題 | 作業の開始 | Defender プラン |
|---|---|---|---|
| 一元化されたポリシー管理 | 環境全体で維持するセキュリティ条件を定義します。 このポリシーは、セキュリティ ポリシーに違反するリソース構成を識別する推奨事項に変換されます。 Microsoft クラウド セキュリティ ベンチマークは、Azure およびその他のクラウド プロバイダー (アマゾン ウェブ サービス (AWS) や Google Cloud Platform (GCP) など) に関する詳細な技術実装ガイダンスを使用してセキュリティ原則を適用する組み込みの標準です。 | セキュリティ ポリシーをカスタマイズする | 基本的な CSPM (無料) |
| セキュリティ スコア | セキュリティに関する推奨事項に基づいて、セキュリティ体制をまとめます。 推奨事項を修復すると、セキュリティ スコアが向上します。 | セキュリティ スコアを追跡する | 基本的な CSPM (無料) |
| マルチクラウド カバレッジ | CSPM 分析情報と CWP 保護のために、エージェントレス メソッドを使用してマルチクラウド環境に接続します。 | Amazon AWS および Google GCP クラウド リソースを Defender for Cloud に接続する | 基本的な CSPM (無料) |
| クラウド セキュリティ態勢管理 (CSPM) | ダッシュボードを使用して、セキュリティ体制の弱点を確認します。 | CSPM ツールを有効にする | 基本的な CSPM (無料) |
| 高度なクラウド セキュリティ体制管理 | 次のような高度なツールを入手して、セキュリティ体制の弱点を特定します。 - セキュリティ体制を改善するアクションを推進するためのガバナンス - セキュリティ標準への準拠を検証するための規制コンプライアンス - 環境の包括的なビューを構築するためのクラウド セキュリティ エクスプローラー |
CSPM ツールを有効にする | ディフェンダー CSPM |
| データ セキュリティ態勢管理 | データ セキュリティ態勢管理では、機密データを含むデータストアが自動的に検出され、データ侵害のリスクを軽減するのに役立ちます。 | データ セキュリティ態勢管理を有効にする | Defender CSPM または Defender for Storage |
| 攻撃パス分析 | 環境に変更を実装する前に、ネットワーク上のトラフィックをモデル化して潜在的なリスクを特定します。 | パスを分析するクエリを作成する | ディフェンダー CSPM |
| Cloud Security Explorer | セキュリティ リスクを見つけるためのクエリを作成できるクラウド環境のマップ。 | セキュリティ リスクを見つけるためのクエリを作成する | ディフェンダー CSPM |
| セキュリティ ガバナンス | リソース所有者にタスクを割り当て、セキュリティ状態とセキュリティ ポリシーの調整の進行状況を追跡することで、組織のセキュリティ強化を推進します。 | ガバナンス ルールを定義する | ディフェンダー CSPM |
| Microsoft Entra Permissions Management | これにより、Azure、AWS、GCP 内の任意の ID と任意のリソースのアクセス許可を包括的に可視化および制御できます。 | アクセス許可侵入インデックス (PCI) を確認する | ディフェンダー CSPM |
クラウド ワークロードの保護
プロアクティブ セキュリティ原則では、ワークロードを脅威から保護するためのセキュリティ プラクティスを実装する必要があります。 クラウド ワークロード保護 (CWP) では、ワークロードを保護するための適切なセキュリティ制御に導くワークロード固有の推奨事項が提供されます。
環境が脅威にさらされると、セキュリティ アラートによって脅威の性質と重大度がすぐに示されるため、対応を計画できます。 環境内の脅威を特定した後、迅速に対応してリソースへのリスクを制限します。
| 機能 | 解決される問題 | 作業の開始 | Defender プラン |
|---|---|---|---|
| クラウド サーバーを保護する | Microsoft Defender for Endpoint によるサーバー保護や、Just-In-Time ネットワーク アクセス、ファイル整合性の監視、脆弱性評価などによる拡張保護を提供します。 | マルチクラウド サーバーとオンプレミス サーバーをセキュリティで保護する | サーバー向けのディフェンダー |
| ストレージ リソースに対する脅威を特定する | 高度な脅威検出機能と Microsoft Threat Intelligence データを使用して、ストレージ アカウントにアクセスまたは悪用しようとする有害な可能性のある異常な試みを検出して、コンテキストに応じたセキュリティ アラートを提供します。 | クラウド ストレージ リソースを保護する | ストレージ用ディフェンダー |
| クラウド データベースを保護する | Azure で最も一般的なデータベースの種類に対する攻撃検出と脅威対応を使用して、データベース資産全体を保護し、攻撃面とセキュリティ リスクに応じてデータベース エンジンとデータ型を保護します。 | クラウド データベースとオンプレミス データベースに特化した保護をデプロイする | - Defender for Azure SQL Databases - コンピューター上の SQL サーバー用 Defender - オープンソース リレーショナル データベース用 Defender - Defender for Azure Cosmos DB |
| コンテナーを保護する | 環境の強化、脆弱性評価、実行時の保護を使用して、クラスター、コンテナー、アプリケーションのセキュリティを向上、監視、および維持できるように、コンテナーをセキュリティで保護します。 | コンテナーでセキュリティ リスクを見つける | コンテナ用ディフェンダー |
| インフラストラクチャ サービスの分析情報 | 環境が攻撃の影響を受けやすくなる可能性があるアプリケーション インフラストラクチャの弱点を診断します。 |
-
App Service で実行されているアプリケーションを対象とする攻撃を特定します - Key Vault アカウントを悪用する試行を検出します - 疑わしい Resource Manager 操作に関するアラートを受け取ります - 異常なドメイン ネーム システム (DNS) アクティビティを公開する |
- Defender for App Service - Defender for Key Vault - Defender for Resource Manager - Defender for DNS |
| セキュリティのアラート | 環境のセキュリティを脅かすリアルタイム イベントを把握します。 アラートは、適切な応答を示すために分類され、重大度レベルが割り当てられます。 | セキュリティ アラートの管理 | Defender のワークロード保護プラン |
| セキュリティ インシデント | アラートを関連付けて攻撃パターンを特定し、セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション、自動化、応答 (SOAR)、IT クラシック デプロイ モデル ソリューションと統合して脅威に対応し、リソースへのリスクを軽減します。 | SIEM システム、SOAR システム、または ITSM システムにアラートをエクスポートする | Defender のワークロード保護プラン |
重要
- 2023 年 8 月 1 日の時点で、Defender for DNS の既存のサブスクリプションをお持ちのお客様は、引き続きスタンドアロン プランとしてサービスを使用できます。
- 新しいサブスクリプションの場合、疑わしい DNS アクティビティに関するアラートは、Defender for Servers プラン 2 (P2) の一部として含まれます。
- 保護スコープに変更はありません。Defender for DNS は、Azure の既定の DNS リゾルバーに接続されているすべての Azure リソースを引き続き保護します。 この変更は、対象となるリソースではなく、DNS 保護の課金方法とバンドル方法に影響します。
詳細情報
Defender for Cloud とそのしくみについて詳しくは、以下をご覧ください。
- Defender for Cloud のステップバイステップ チュートリアル
- 「フィールドから学んだ教訓」でのサイバーセキュリティの専門家との Defender for Cloud に関するインタビュー
- Microsoft Defender for Cloud - Use cases (Microsoft Defender for Cloud - ユース ケース)
- Microsoft Defender for Cloud PoC Series - Microsoft Defender for Containers (Microsoft Defender for Cloud PoC シリーズ - Microsoft Defender for Containers)
- Microsoft Defender for Cloud がデータ セキュリティを提供する方法の詳細