Microsoft Defender for Cloud は 、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) であり、複数のクラウド セキュリティ ツールを組み合わせて、ライフサイクル全体にわたってアプリケーションを保護する統合ソリューションです。 このソリューションは、クラウドとオンプレミスリソース全体のセキュリティ体制の包括的なビューを提供します。 また、マルチクラウド環境とハイブリッド環境をセキュリティで保護し、DevOps ワークフローにセキュリティを統合するのにも役立ちます。 次の 3 つの主要なコンポーネントがあります。
開発セキュリティ運用 (DevSecOps) は、 マルチクラウド環境とマルチパイプライン環境全体でコード レベルのセキュリティを管理します。
Cloud Security Posture Management (CSPM) は 、クラウド リソースのセキュリティ体制をチェックして改善します。
Cloud Workload Protection Platform (CWPP) は、仮想マシン (VM)、コンテナー、ストレージ、データベース、サーバーレス関数などのワークロードを脅威から保護します。
Defender for Cloud では、より広範な Cloud Native Application Protection Platform (CNAPP) 機能を使用して、保護を 1 つのエクスペリエンスに統合します。 Defender for Cloud は、開発ライフサイクルの早い段階でセキュリティを埋め込みます。 DevOps チームが構成の誤りを見つけ、ポリシーを適用し、リスクを早期に修正するのに役立ちます。
Note
価格情報については、 Defender for Cloud の価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
Cloud Native Application Protection Platform (CNAPP)
Azure サブスクリプションで Defender for Cloud ソリューション を有効にすると、システムはマルチクラウド環境と DevOps 環境からセキュリティ データを収集します。 Defender for Cloud は、データを使用して、クラウドのワークロードとリソースを保護するのに役立つ分析情報、推奨事項、アクションを提供します。 Defender Cloud Security Posture Management (CSPM)、Defenderfor Databases、Defender for Containers など、より高度なセキュリティ機能を取得するための追加の計画を有効にすることができます。
Defender for Cloud の利用可能なプランとその CNAPP の利点は次のとおりです。
| Defender for Cloud プラン | CNAPP benefits | Relevant links |
|---|---|---|
| Defender CSPM/Foundational CSPM | エージェントレスの脆弱性スキャン、データ対応のセキュリティ体制、クラウド セキュリティ グラフ、高度な脅威ハンティングなど、高度なセキュリティ体制機能を提供します。 |
CSPM プランの違いを確認してください。 Defender CSPM プランを有効にします。 |
| Defender for Servers | Azure、AWS、GCP、オンプレミスの環境で実行される Windows および Linux マシンの脅威検出と高度な防御を提供します。 |
Defender for Servers の展開を計画する Defender for Servers プランの違いを確認する Defender for Servers の展開 |
| コンテナ用ディフェンダー | Kubernetes ノードとクラスターの環境の強化、脆弱性評価、実行時の保護を提供します。 |
Microsoft Defender for Containers のコンテナー セキュリティの概要 Defender for Containers のアーキテクチャ Protect your Azure, IaaS, AWS, and GCP containers with Defender for Containers |
| リソース管理者向けDefender | リソース管理操作を自動的に監視することで、異常で有害な可能性のあるアクティビティを検出します。 |
Microsoft Defender for Resource Manager の概要 Defender for Resource Manager を使用してリソースを保護する |
| Defender for Storage | マルウェア、ストレージ固有の脅威、機密データ漏洩、Shared Access Signature (SAS) トークンの誤用から保護します。 |
Microsoft Defender for Storage の概要 Malware scanning 機密データに対する脅威を検出する Microsoft Defender for Storage の展開 |
| Defender for App Service | App Service で実行されているアプリケーションを標的とする攻撃を特定します。 |
Azure App Service Web アプリと API を保護する Defender for App Service の概要 Defender for App Service を使用してアプリケーションを保護する |
| Defender for Databases | Azure のさまざまな種類のデータベースに対する攻撃検出と脅威対応によって、データベース資産全体を保護します。 |
Microsoft Defender for Azure SQL の概要 Defender for Databases を使用してデータベースを保護する オープンソース リレーショナル データベース用 Microsoft Defender とは Microsoft Defender for Azure Cosmos DB の概要 |
| Defender for Key Vault | Key Vault アカウントへのアクセスまたは悪用を試みる、通常とは異なる、害を及ぼす可能性のある試行を検出します。 |
Microsoft Defender for Key Vault の概要 Defender for Key Vault を使用してキー コンテナーを保護する |
| Defender for API | ビジネス クリティカルな API の可視性を提供し、API のセキュリティ体制の向上、脆弱性修正の優先順位付け、アクティブなリアルタイムの脅威の迅速な検出を実現します。 |
Microsoft Defender for API について Defender for API を使用して API を保護する |
また、Defender for Cloud での CNAPP の実装の詳細については、「 計画からデプロイまで: クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) 戦略の実装」の電子書籍もご覧ください。
開発セキュリティ操作 (DevSecOps)
Defender for Cloud は、開発の開始にセキュリティを追加します。 これにより、コード パイプラインと環境をセキュリティで保護し、1 か所からセキュリティ体制を監視できます。 Defender for Cloud を使用すると、セキュリティ チームは複数のパイプライン環境で DevOps のセキュリティを管理できます。
アプリケーションでは、デプロイされたアプリケーションが攻撃に対して確実に強化されるように、コード、インフラストラクチャ、ランタイム レベルでのセキュリティ認識が必要です。
| Capability | 解決される問題 | 概要 | Defender plan |
|---|---|---|---|
| コード パイプラインの分析情報 | これによりセキュリティ チームは、GitHub、Azure DevOps、GitLab などのマルチパイプライン環境全体で、コードからクラウドまでのアプリケーションとリソースを保護できます。 DevOps のセキュリティ調査結果 (コードとしてのインフラストラクチャ (IaC) の構成の誤りや、暴露されたシークレットなど) を他のコンテキスト クラウド セキュリティ分析情報と関連付けて、コード内の修復に優先順位を付けることができます。 | Connect Azure DevOps, GitHub, and GitLab repositories to Defender for Cloud | 基本的な CSPM (無料) と Defender CSPM |
クラウド セキュリティ態勢管理 (CSPM)
クラウドとオンプレミスのリソースのセキュリティは、適切な構成とデプロイに依存します。 Defenders for Cloud の推奨事項では、環境をセキュリティで保護するための手順を特定します。
Defender for Cloud には、無料の基本 CSPM 機能が含まれています。 Defender CSPM プランで高度な CSPM 機能を有効にします。
| Capability | 解決される問題 | 概要 | Defender plan |
|---|---|---|---|
| 一元化されたポリシー管理 | 環境全体で維持するセキュリティ条件を定義します。 このポリシーは、セキュリティ ポリシーに違反するリソース構成を識別する推奨事項に変換されます。 Microsoft クラウド セキュリティ ベンチマークは、Azure およびその他のクラウド プロバイダー (アマゾン ウェブ サービス (AWS) や Google Cloud Platform (GCP) など) に関する詳細な技術実装ガイダンスを使用してセキュリティ原則を適用する組み込みの標準です。 | セキュリティ ポリシーをカスタマイズする | 基本的な CSPM (無料) |
| Secure score | セキュリティに関する推奨事項に基づいて、セキュリティ体制をまとめます。 推奨事項を修復すると、セキュリティ スコアが向上します。 | セキュリティ スコアを追跡する | 基本的な CSPM (無料) |
| Multicloud coverage | CSPM 分析情報と CWPP 保護のためのエージェントレスメソッドを使用して、マルチクラウド環境に接続します。 | Connect your Amazon AWS and Google GCP cloud resources to Defender for Cloud | 基本的な CSPM (無料) |
| クラウド セキュリティ態勢管理 (CSPM) | ダッシュボードを使用して、セキュリティ体制の弱点を確認します。 | CSPM ツールを有効にする | 基本的な CSPM (無料) |
| 高度なクラウド セキュリティ体制管理 | 次のような高度なツールを入手して、セキュリティ体制の弱点を特定します。 - セキュリティ体制を改善するアクションを推進するためのガバナンス - セキュリティ標準への準拠を検証するための規制コンプライアンス - 環境の包括的なビューを構築するためのクラウド セキュリティ エクスプローラー |
CSPM ツールを有効にする | Defender CSPM |
| データ セキュリティ態勢管理 | データ セキュリティ態勢管理では、機密データを含むデータストアが自動的に検出され、データ侵害のリスクを軽減するのに役立ちます。 | データ セキュリティ態勢管理を有効にする | Defender CSPM または Defender for Storage |
| 攻撃パス分析 | 環境に変更を実装する前に、ネットワーク上のトラフィックをモデル化して潜在的なリスクを特定します。 | パスを分析するクエリを作成する | Defender CSPM |
| Cloud Security Explorer | セキュリティ リスクを見つけるためのクエリを作成できるクラウド環境のマップ。 | セキュリティ リスクを見つけるためのクエリを作成する | Defender CSPM |
| Security governance | リソース所有者にタスクを割り当て、セキュリティ状態とセキュリティ ポリシーの調整の進行状況を追跡することで、組織のセキュリティ強化を推進します。 | ガバナンス ルールを定義する | Defender CSPM |
| Microsoft Entra Permissions Management | これにより、Azure、AWS、GCP 内の任意の ID と任意のリソースのアクセス許可を包括的に可視化および制御できます。 | アクセス許可侵入インデックス (PCI) を確認する | Defender CSPM |
クラウド ワークロード保護プラットフォーム (CWPP)
プロアクティブ セキュリティ原則では、ワークロードを脅威から保護するためのセキュリティ プラクティスを実装する必要があります。 クラウド ワークロード保護プラットフォーム (CWPP) は、ワークロードを保護するための適切なセキュリティ制御に導くワークロード固有の推奨事項を提供します。
環境が脅威にさらされると、セキュリティ アラートによって脅威の性質と重大度がすぐに示されるため、対応を計画できます。 環境内の脅威を特定した後、迅速に対応してリソースへのリスクを制限します。
| Capability | 解決される問題 | 概要 | Defender plan |
|---|---|---|---|
| クラウド サーバーを保護する | Microsoft Defender for Endpoint によるサーバー保護や、Just-In-Time ネットワーク アクセス、ファイル整合性の監視、脆弱性評価などによる拡張保護を提供します。 | マルチクラウド サーバーとオンプレミス サーバーをセキュリティで保護する | Defender for Servers |
| ストレージ リソースに対する脅威を特定する | 高度な脅威検出機能と Microsoft Threat Intelligence データを使用して、ストレージ アカウントにアクセスまたは悪用しようとする有害な可能性のある異常な試みを検出して、コンテキストに応じたセキュリティ アラートを提供します。 | クラウド ストレージ リソースを保護する | ストレージ用ディフェンダー |
| クラウド データベースを保護する | Azure で最も一般的なデータベースの種類に対する攻撃検出と脅威対応を使用して、データベース資産全体を保護し、攻撃面とセキュリティ リスクに応じてデータベース エンジンとデータ型を保護します。 | クラウド データベースとオンプレミス データベースに特化した保護をデプロイする | - Defender for Azure SQL Databases - コンピューター上の SQL サーバー用 Defender - オープンソース リレーショナル データベース用 Defender - Defender for Azure Cosmos DB |
| Protect containers | 環境の強化、脆弱性評価、実行時の保護を使用して、クラスター、コンテナー、アプリケーションのセキュリティを向上、監視、および維持できるように、コンテナーをセキュリティで保護します。 | コンテナーでセキュリティ リスクを見つける | Defender for Containers |
| インフラストラクチャ サービスの分析情報 | 環境が攻撃の影響を受けやすくなる可能性があるアプリケーション インフラストラクチャの弱点を診断します。 |
-
App Service で実行されているアプリケーションを対象とする攻撃を特定します - Key Vault アカウントを悪用する試行を検出します - 疑わしい Resource Manager 操作に関するアラートを受け取ります - 異常なドメイン ネーム システム (DNS) アクティビティを公開する |
- Defender for App Service - Defender for Key Vault - Defender for Resource Manager - Defender for DNS |
| Security alerts | 環境のセキュリティを脅かすリアルタイム イベントを把握します。 アラートは、適切な応答を示すために分類され、重大度レベルが割り当てられます。 | セキュリティ アラートの管理 | Defender のワークロード保護プラン |
| Security incidents | アラートを関連付けて攻撃パターンを特定し、セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション、自動化、応答 (SOAR)、IT クラシック デプロイ モデル ソリューションと統合して脅威に対応し、リソースへのリスクを軽減します。 | SIEM システム、SOAR システム、または ITSM システムにアラートをエクスポートする | Defender のワークロード保護プラン |
Important
- 2023 年 8 月 1 日の時点で、Defender for DNS の既存のサブスクリプションをお持ちのお客様は、引き続きスタンドアロン プランとしてサービスを使用できます。
- 新しいサブスクリプションの場合、疑わしい DNS アクティビティに関するアラートは、Defender for Servers プラン 2 (P2) の一部として含まれます。
- 保護スコープに変更はありません。Defender for DNS は、Azure の既定の DNS リゾルバーに接続されているすべての Azure リソースを引き続き保護します。 この変更は、対象となるリソースではなく、DNS 保護の課金方法とバンドル方法に影響します。
Learn More
Defender for Cloud とそのしくみについて詳しくは、以下をご覧ください。
- A step-by-step walkthrough of Defender for Cloud
- 「フィールドから学んだ教訓」でのサイバーセキュリティの専門家との Defender for Cloud に関するインタビュー
- Microsoft Defender for Cloud - Use cases (Microsoft Defender for Cloud - ユース ケース)
- Microsoft Defender for Cloud PoC Series - Microsoft Defender for Containers (Microsoft Defender for Cloud PoC シリーズ - Microsoft Defender for Containers)
- Microsoft Defender for Cloud がデータ セキュリティを提供する方法の詳細