Microsoft Defender for Cloud の主な機能の 1 つは、クラウド セキュリティ体制管理 (CSPM) です。 CSPM は、資産とワークロードのセキュリティ状態を詳細に把握し、セキュリティ体制の向上に役立つ強化ガイダンスを提供します。
Defender for Cloud は、Azure サブスクリプション、アマゾン ウェブ サービス (AWS) アカウント、および Google Cloud Platform (GCP) プロジェクトに対して定義されているセキュリティ標準に対して、リソースを継続的に評価します。 Defender for Cloud では、これらの評価に基づいてセキュリティに関する推奨事項が発行されます。
既定では、Azure サブスクリプションで Defender for Cloud を有効にすると、 Microsoft Cloud Security Benchmark (MCSB) コンプライアンス標準が有効になり、マルチクラウド環境をセキュリティで保護するための推奨事項が提供されます。 Defender for Cloud では、MCSB の推奨事項の一部に基づいて集約された セキュリティ スコア が提供されます。 スコアが高いほど、識別されたリスク レベルが低いことを示します。
CSPM プラン
Defender for Cloud には、次の 2 つの CSPM プラン オプションが用意されています。
Foundational CSPM - Defender for Cloud にオンボードするサブスクリプションとアカウントに対して既定で有効になっている無料プラン。
Defender CSPM - 基本的な CSPM プラン以外の追加機能を提供する有料プラン。 このバージョンのプランでは、AI セキュリティ体制、攻撃パス分析、リスクの優先順位付けなど、より高度なセキュリティ体制機能が提供されます。
プランの可用性
Defender CSPM の価格について詳しくは、こちらをご覧ください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
次の表は、各プランとそこでのクラウドの可用性をまとめたものです。
| 機能 | 基本的な CSPM | ディフェンダー CSPM | クラウドでの利用可否 |
|---|---|---|---|
| セキュリティに関する推奨事項 | 
|
|
Azure、AWS、GCP、オンプレミス、Docker Hub、JFrog Artifactory |
| 資産インベントリ |
|
|
Azure、AWS、GCP、オンプレミス、Docker Hub、JFrog Artifactory |
| セキュリティ スコア |
|
|
Azure、AWS、GCP、オンプレミス、Docker Hub、JFrog Artifactory |
| Azure Workbooks を使用したデータの視覚化とレポート |
|
|
Azure、AWS、GCP、オンプレミス |
| データのエクスポート |
|
|
Azure、AWS、GCP、オンプレミス |
| ワークフローの自動化 |
|
|
Azure、AWS、GCP、オンプレミス |
| 修復のためのツール |
|
|
Azure、AWS、GCP、オンプレミス、Docker Hub、JFrog Artifactory |
| Microsoft クラウド セキュリティ ベンチマーク |
|
|
Azure、AWS、GCP |
| AI セキュリティ体制管理 | - |
|
Azure、AWS |
| エージェントレス VM の脆弱性スキャン | - |
|
Azure、AWS、GCP |
| VM シークレットのエージェントレス スキャン | - |
|
Azure、AWS、GCP |
| 攻撃パス分析 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| リスクの優先順位付け | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| セキュリティ エクスプローラーを使用したリスクハンティング | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| コンテナーのコードからクラウドへのマッピング | - |
|
GitHub、Azure DevOps2 、Docker Hub、JFrog Artifactory |
| IaC のコードからクラウドへのマッピング | - |
|
Azure DevOps2、Docker Hub、JFrog Artifactory |
| PR 注釈 | - |
|
GitHub、Azure DevOps2 |
| インターネット露出分析 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 外部攻撃面の管理 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| 規制コンプライアンス評価 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| ServiceNow 統合 | - |
|
Azure、AWS、GCP |
| 重要な資産保護 | - |
|
Azure、AWS、GCP |
| 大規模な修復を推進するためのガバナンス | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| データ セキュリティ体制管理 (DSPM)、機密データ スキャン | - |
|
Azure、AWS、GCP1 |
| Kubernetes のエージェントレス検出 | - |
|
Azure、AWS、GCP |
| カスタム推奨事項 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| エージェントレス コードからクラウドまでのコンテナの脆弱性評価 | - |
|
Azure、AWS、GCP、Docker Hub、JFrog Artifactory |
| API セキュリティ体制管理 (プレビュー) | - |
|
紺碧 |
| Azure Kubernetes Service セキュリティ ダッシュボード (プレビュー) | - |
|
紺碧 |
1: GCP の機密データ検出 では、Cloud Storage のみがサポートされます。 2: セキュリティ エクスプローラーを強化するコードからクラウドへのコンテキスト化、攻撃パス、コードとしてのインフラストラクチャのセキュリティ結果のプル要求注釈などの DevOps セキュリティ機能は、有料の Defender CSPM プランを有効にした場合にのみ使用できます。 DevOps のセキュリティ サポートと前提条件の詳細を確認します。
統合
パートナー システムを使用してチケット、イベント、顧客とのやり取りをシームレスに管理および追跡するのに役立つ統合が Microsoft Defender for Cloud に組み込まれました。 推奨事項をパートナー チケット ツールにプッシュし、修復の責任をチームに割り当てることができます。
統合により、インシデント対応プロセスが合理化され、セキュリティ インシデントを管理する能力が向上します。 セキュリティ インシデントをより効果的に追跡し、優先順位を付け、解決することができます。
統合するチケット発行システムを選択できます。 プレビューでは、ServiceNow 統合のみがサポートされています。 ServiceNow 統合の構成の詳細については、「 ServiceNow と Microsoft Defender for Cloud の統合 (プレビュー)」を参照してください。
プランの価格
Defender for Cloud の価格ページを参照して、Defender CSPM の価格について学んでください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
プル要求注釈、コードからクラウドへのマッピング、攻撃パス分析、クラウド セキュリティ エクスプローラーなどの DevOps セキュリティ体制機能は、有料の Defender CSPM プランでのみ使用できます。 無料の基本セキュリティ体制管理プランでは、Azure DevOps の推奨事項が提供されます。 Azure DevOps のセキュリティ機能によって提供される機能の詳細について説明します。
Defender CSPM と Defender for Containers プランの両方を使用するサブスクリプションの場合、無料の脆弱性評価は、 Microsoft Defender for Cloud の価格ページに要約されているように、Defender for Containers プランを介して提供される無料のイメージ スキャンに基づいて計算されます。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
Defender CSPM は、すべてのマルチクラウド ワークロードを保護しますが、課金は特定のリソースにのみ適用されます。 次の表に、Azure サブスクリプション、AWS アカウント、または GCP プロジェクトで Defender CSPM が有効になっている場合の課金対象リソースの一覧を示します。
Azure サービス リソースの種類 除外 コンピューティング Microsoft.Compute/仮想マシン
Microsoft.Compute/virtualMachineScaleSets/virtualMachines
Microsoft.ClassicCompute/virtualMachines- 割り当て解除済み VM
- Databricks VMストレージ Microsoft.Storage/storageAccounts BLOB コンテナーまたはファイル共有のないストレージ アカウント DB Microsoft.Sql/servers
Microsoft.DBforPostgreSQL/flexibleServers
Microsoft.DBforMySQL/flexibleServers
Microsoft.DBforPostgreSQL/servers
Microsoft.DBforMySQL/servers
Microsoft.Sql/managedInstances
Microsoft.DBforMariaDB/servers
Microsoft.Synapse ワークスペース--- AWS サービス リソースの種類 除外 コンピューティング EC2 インスタンス 割り当て解除済み VM ストレージ S3 バケット --- DB RDS インスタンス --- GCP サービス リソースの種類 除外 コンピューティング 1. Google コンピューティング インスタンス
2. Google インスタンス グループ実行されていない状態のインスタンス ストレージ ストレージ バケット - 次のクラスからのバケット: 'nearline'、'coldline'、'archive'
- リージョン以外のバケット: europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1DB クラウド SQL インスタンス ---
Azure クラウド サポート
商用クラウドと国内クラウドの対象範囲については、 Azure クラウド環境でサポートされている機能を確認してください。
次のステップ
- 将来のセキュリティ インシデントを予測するをご覧ください。Microsoft Defender を使用したクラウド セキュリティ体制管理。
- セキュリティ標準と推奨事項について説明します。
- セキュリティ スコアについて説明します。