ビジネススピードの加速や柔軟なシステム運用を求めて、クラウドサービスを利用する企業は年々増加しています。これによってセキュリティリスクが増大する懸念もあります。Microsoft Defender for Cloudはこの課題を解決するサービスとして、Azureだけでなくオンプレミスや他のクラウドサービスのリソースも保護することが可能です。本記事では、Microsoft Defender for Cloudの概要や機能、特徴について解説します。
Microsoft Defender for Cloudとは
Microsoft Defender for Cloudは、クラウド環境のセキュリティ体制管理と脅威保護のためのツールです。Azure上のリソースだけでなく、オンプレミス環境やAWSやGCPなど、Azure以外のクラウドサービス内のリソースも保護できます。2021年11月にこれまで「Azure Security Center」と「Azure Defender」と呼ばれていた2つのソリューションが統合されたもので、マルチクラウドに対応するため「Azure」から「Microsoft」へと名前が切り替えられました。Microsoft Defender for Cloudの機能はCSPM、CWPの2つを柱としています。CSPM、CWPはクラウド環境でセキュリティポリシーの一元管理を可能にするソリューションです。
クラウドセキュリティ体制管理(CSPM)
CSPMソリューションは、クラウド環境における問題の評価、検出、ログの記録、レポートを自動的に行います。これにより現在のセキュリティ状況の把握、効率的かつ効果的なセキュリティレベルの向上に役立ちます。Microsoft Defender for Cloudでは、セキュリティの問題についてリソース、サブスクリプション、組織を継続的に評価したものをセキュリティスコアで表します。Microsoft Defender for Cloudを起動して最初に表示されるダッシュボードから一目で現在の状況が把握できるため、リスクの予防やセキュリティ設定の改善に役立ちます。
クラウドワークロード保護(CWP)
CWPソリューションは、クラウド環境のワークロードを構成するリソースを、その種類や場所を問わずに自動的に保護する技術のことです。リソースは仮想マシン、コンテナ、ストレージ、データベース、アプリケーションなどが該当します。Microsoft Defender for Cloudでは、サブスクリプション内のリソースの種類に固有のMicrosoft Defenderプランを有効にすることで提供されます。たとえばMicrosoft Defender for Storageを有効にすると、ストレージに関する脅威から保護することができます。
Microsoft Defender for Cloudのセキュリティ要件
Microsoft Defender for Cloudの機能は、以下の3つのセキュリティ要件を満たします。
セキュリティ評価
セキュリティの状態を継続的に評価しセキュリティスコアで表すことで、一目で現在のセキュリティ状態が把握できます。セキュリティスコアはAzure上のワークロード、データ、およびサービスのセキュリティを強化するための規範的なベストプラクティスとされている「Azureセキュリティベンチマーク」と、接続されているリソースを比較して生成されます。これによりハイブリッド・マルチクラウド環境のそれぞれの基準に重複するプロセスも一貫して評価することが可能です。セキュリティスコアが高いほど、リスクレベルは低いと理解できます。
セキュリティ保護
Microsoft Defender for Cloudに接続されているハイブリッド・マルチクラウド環境全てのリソースとサービスを保護・強化します。Azureで設定されている「セキュリティに関する推奨事項」に従い、リソースとサービスの構成を調整し、コンプライアンスのニーズを満たすことを確認します。組織のニーズに合わせてセキュリティポリシーをカスタマイズすることも可能です。多くのオプションを使用してセキュリティ管理を一元的に行います。
脅威からの防御
強化されたセキュリティ機能を有効にすることで、リソースに対する脅威が検出されます。脅威が検知されるとセキュリティアラートとしてAzure Portalに表示され、担当者にメール通知することも可能です。高度な行動分析により巧妙化するサイバー攻撃に対応し、脅威の予防、早期発見、早期解決を目指します。
Microsoft Defender for Cloudの保護対象
Microsoft Defender for Cloudの保護対象について解説します。
具体的な保護対象として以下があります。
- Azureのサービス
- ハイブリッドリソース
- マルチリソース
Azureネイティブ
多くのAzureサービスは自動的にMicrosoft Defender for Cloudにおいて監視および保護対象となり、次のような脅威を検出するのに役立ちます。
AzurePaaSサービス
Azure App Service、Azure SQL、Azure Storageアカウント、その他のデータサービスを含むAzureサービスを対象とした脅威を検出します。シャドーITを防ぐCASB製品であるMicrosoft Defender for Cloud Appsと連携し、Azureアクティビティログで異常を検出することも可能です。
Azureデータサービス
Azure SQL、ストレージサービス全体の潜在的な脆弱性の評価、緩和する方法の推奨事項を取得できます。
ネットワーク
ネットワークを通じたブルートフォース攻撃から保護することも可能です。仮想マシンの管理ポートを必要な時にだけ、必要な時間、必要なコンピュータに対してのみアクセスを許可する機能である「Just-In-Time VM アクセス」を有効にすれば、不要なアクセスを防止してネットワーク保護を強化できます。
ハイブリッドリソース
オンプレミス環境のマシンをMicrosoft Defender for Cloudの保護対象とするには、マシンにエージェントをインストールしてAzure Arcをデプロイします。Azure Arcとはハイブリッド・マルチクラウド環境を統合管理できるサービスです。さらに、強化されたセキュリティ機能を有効にすることで、オンプレミスリソースへ保護機能を拡張できます。
マルチリソース
AWSやGCPなどのAzure以外のクラウド環境のリソースを保護対象とするには、AWS・GCPのアカウントをAzureサブスクリプションに接続します。さらに、強化されたセキュリティ機能を有効にすることでMicrosoft Defender for Cloudの機能をマルチリソースへ拡張できます。たとえばAWSアカウントを接続した場合、以下の保護を有効にできます。
Defender for CloudのCSPM機能
AWSリソースへCSPM機能を拡張し、AWS固有のセキュリティ推奨事項に従ってAWSリソースを評価します。
またGCPやオンプレミスのリソースを保護対象とすることも可能です。保護対象になったリソースに対して、セキュリティ推奨事項を示します。推奨事項に従い設定変更や環境の見直しを行うことで、リスクレベルの低減を実現可能です。
Microsoft Defender For Containers
コンテナの脅威検出と高度な防御機能がAmazon EKS Linuxクラスタまで拡張されます。
昨今ではコンテナによる仮想化も仮想マシンでの仮想化に引けを取らない程度まで普及してきました。オンプレミス、クラウドを問わず、KubernetesやAzureコンテナなど、コンテナを利用した環境に対する保護が可能です。
Microsoft Defender for servers
Windows、LinuxのEC2インスタンスへ脅威検出と高度な防御機能が拡張されます。
こちらはAzure上の仮想マシンだけでなく、AWSやGCPの仮想サーバー、オンプレミスのサーバーに対しても利用できます。
各リソースに対して保護対象にするかどうかを選択できます。ただ、追加するたびに設定変更する煩わしさを考えると、Azureサブスクリプション全体を保護対象とするのがよいでしょう。
Microsoft Defender for Databases
以下のデータベースサービスを保護できる機能です。
- Azure SQL データベース
- SQL servers on machines
- オープンソースリレーショナルデータベース
- Azure Cosmos DB
サブスクリプション上に存在する上記全てのデータベースに適用するか、特定のデータベースのみに適用するかを選べます。
Microsoft Defender for Storage
ストレージサービスを保護できる機能です。保護対象にできるサービスは以下になります。
- Azure Blob Storage
- Azure Files
- Azure Data Lake Storage
保護を有効にすることで、データの破損や悪意のあるファイルのアップロードを防ぐことが可能です。
サービスレイヤーに対するMicrosoft Defender
Microsoft Defenderでは以下のサービスも保護できます。
- App Service
- Key Vault
- Resource Manager
AzureのApp Serviceはアプリケーション実行環境となるPaaSのことです。Key Vaultはパスワードなどの秘密情報を保護するサービスになります。Resouce ManagerはAzure上でリソースのデプロイ管理をできるサービスです。
これらに対してもMicrosoft Defenderで保護をすることで、不審な動きに気がついたり、脅威の防止を強化したりできます。
Microsoft Defender for Cloudの機能
Microsoft Defender for Cloudは無料と有料の2つのモードから選択できます。無料モード、有料モードそれぞれで提供される機能について解説します。
【無料モード】Azure内のリソースのみセキュリティ強化する
無料で利用できるモードです。全てのAzureサブスクリプションのAzureリソースのみが対象となります。このモードでは継続的なセキュリティ評価が行われ、それに基づくセキュリティスコア、Azureリソースの保護に役立つセキュリティの推奨事項が表示されます。またセキュリティポリシーの設定も可能です。
【有料モード】Azure以外のリソースもセキュリティ強化する
強化されたセキュリティ機能を有効にすると、最初の30日間は無料で利用でき、以降継続する場合は使用量に応じて課金されます。無料モードの機能がハイブリッド・マルチクラウド環境まで拡張されるほか、以下のような強化されたセキュリティ管理・脅威防止機能が追加されます。
Microsoft Defender for Endpoint
保護対象となるサーバにはEDR製品であるMicrosoft Defender for Endpointの機能が含まれます。Microsoft Defender for Endpointと連携するメリットとして、Microsoft Defender for Endpointのより高度な侵害検出センサーにより、デバイスのあらゆる信号を収集できる点などが挙げられます。
リソースの脆弱性評価
脆弱性評価ソリューションを有効にすることで、仮想マシン、コンテナ、レジストリ、SQLリソースの脆弱性を評価します。結果の調査や修復もDefender for Cloudポータル内から直接実行できます。
脅威防止アラート
高度な行動分析と機械学習を利用し、日々進化する各種サイバー攻撃を特定します。ネットワーク、マシン、データストアなどを監視し、状況に応じた脅威インテリジェンスにより調査を効率化し、アラートを生成します。
さまざまな標準でのコンプライアンスの追跡
Microsoft Defender for Cloudでは、無料モードでAzureセキュリティベンチマークに従ってクラウド環境を継続的に評価します。有料モードでは組織のニーズに応じてほかの業界標準や規制標準、ベンチマークを適用することも可能です。
Microsoft Defender for Cloudの有効化
Microsoft Defender for Cloudを有効化すると、Azureリソースのみが対象の制限されたセキュリティ機能が提供されます。さらに強化されたセキュリティ機能を有効化し、ハイブリッド・マルチクラウド環境のリソースを接続することで全ての環境へセキュリティ機能を拡張できます。Microsoft Defender for Cloudの有効化、強化されたセキュリティ機能の有効化手順について解説します。
1. Azure サブスクリプションでMicrosoft Defender for Cloud を有効にする
Azure Portalのメニューから[Defender for Cloud]を選択します。
Defender for Cloudの概要ページが開きます。このページに初めてアクセスするときに、Defender for Cloudの無料プランが自動的に有効になります。
2. 強化されたセキュリティ機能をAzure portalから有効にする
Azure外のリソースにDefender for Cloudの機能を拡張したり、脅威防止などの全ての機能を利用するには、[強化されたセキュリティ機能]を有効にします。
2-1.Defender for Cloud のメイン メニューで [環境設定] を選択します。
2-2.保護するサブスクリプションまたはワークスペースを選択します。
2-3.[全ての Microsoft Defender プランの有効化] を選択します。
※保護するリソースの種類ごとに個別に有効・無効の設定をすることも可能です。
2-4.[保存] を選択します。
Microsoft Defender for Cloudを利用するメリット
Microsoft Defender for Cloudを利用するメリットについて解説します。
クラウド環境に強力なセキュリティ対策ができる
Microsoft Defender for Cloudが提供するCSPM・CWPソリューションは、クラウド環境が抱えるセキュリティ課題を強力にカバーします。セキュリティ状態の評価・可視化・リソースの保護・防御を自動的に行ってくれるため、安心してシステムを運用できます。
ハイブリッド・マルチクラウド環境を一元的に管理できる
ハイブリッド・マルチ環境にまたがるサービスやリソースを一元的に管理・保護できる点は運用面で大きなメリットです。プラットフォームごとにセキュリティ対策を行うのは多くのリソースやコストが必要になる上、リスクも増えます。Microsoft Defender for CloudならAzure Portalから一括で各環境に分散している全てのリソースを効率よく管理でき、問題の早期検知・解決にもつながります。
最新の脅威への対応が期待できる
Microsoft Defender for Cloudは高度な行動分析や機械学習により、巧妙化するサイバー攻撃やゼロデイ攻撃に対応します。今後も新機能の追加や改良が多く予定されているため、セキュリティ課題に対して最新のソリューションによる画期的な解決策を提示してくれるでしょう。
Microsoft Defender for Cloudの導入・利用コスト
Microsoft Defender for Cloudは以下の料金で利用可能です(東日本リージョン、日本円)。基本的には無料ですが、強化されたセキュリティ保護機能を用いる場合には以下の料金になります。
サービス対象 |
プラン |
料金 |
クラウド セキュリティ態勢管理 (CSPM) |
Foundational CSPM |
無料 |
|
Defender クラウド セキュリティ態勢管理 (CSPM) |
¥1.053/請求対象リソース/時間 |
サーバー |
for Servers プラン 1 |
¥1.011/サーバー/時間 |
|
for Servers プラン 2 |
¥3.009/サーバー/時間 |
コンテナー |
for Containers |
¥1.4155/仮想コア/時間 |
データベース |
for SQL(Azure上) |
¥3.091/インスタンス/時間 |
|
for SQL(Azure外) |
¥2.257/インスタンス/仮想コア/時間 |
|
for MySQL |
¥3.091/インスタンス/時間 |
|
for PostgreSQL |
¥3.091/インスタンス/時間 |
|
for MariaDB |
¥3.039/インスタンス/時間 |
|
for Azure Cosmos DB |
¥0.1806 (100 RU/S/時間あたり) |
ストレージ |
for Storage |
ストレージアカウント1 時間あたり ¥2.0157 |
|
マルウェア スキャン |
スキャンされたデータあたりの ¥22.564/GB |
サービス レイヤー |
for App Service |
¥3.009/インスタンス/時間 |
|
for Key Vault |
¥37.34/Vault/月 |
|
for Resource Manager |
¥757.70/サブスクリプション/月 |
Defender for Servers1と2の違い
上記の表のうち、違いがわかりにくい点としてServers1と2があります。以下は1,2それぞれで利用できる機能です。
- Defender for ServersとDefender for Endpointとの統合
- Defender for Endpoint のプロビジョニング
- 統合ビュー
- OS レベルの脅威検出 (エージェントベース)
一方で2では機能としてネットワークレベルの脅威検出や、エージェントレススキャンなどが利用可能です。1で利用できないさらなるセキュリティチェックや、確認を行うための機能が搭載されています。
機能 |
詳細 |
プラン1 |
プラン2 |
Defender for Endpoint 統合 |
Defender for ServersとDefender for Endpointを統合する |
⚪︎ |
⚪︎ |
Defender for Endpoint のプロビジョニング |
Defender for Cloudに接続されているサポート対象のすべてのマシンで、Defender for Endpointセンサーが自動的にプロビジョニングされる |
⚪︎ |
⚪︎ |
統合ビュー |
Defender for Endpointからのアラートが、Defender for Cloudポータルに表示される。 |
⚪︎ |
⚪︎ |
OS レベルの脅威検出 (エージェントベース) |
仮想マシンの動作検出やファイルレス攻撃の検出など、OS レベルで脅威を検出 |
⚪︎ |
⚪︎ |
ネットワークレベルの脅威検出 (エージェントレスのセキュリティアラート) |
Azure 仮想マシンのネットワークベースセキュリティアラートなど、ネットワーク上のコントロールプレーンに対する脅威を検出 |
⚪︎ |
⚪︎ |
Microsoft Defender 脆弱性の管理 (MDVM) アドオン |
脆弱性管理プログラムの統合資産インベントリ、セキュリティ ベースライン評価、アプリケーション ブロック機能などを強化 |
⚪︎ |
⚪︎ |
セキュリティ ポリシーと規制コンプライアンス |
サブスクリプションのセキュリティ ポリシーをカスタマイズし、さらに、リソースの構成を業界標準、規制、ベンチマークの要件と比較 |
- |
⚪︎ |
Qualys 脆弱性評価 |
Defender 脆弱性管理の代わりに、Defender for Cloud でQualys スキャナーをデプロイして結果を表示(アカウント不要) |
- |
⚪︎ |
アダプティブアプリケーション制御 |
適応型アプリケーション制御により、マシンの既知の安全なアプリケーションの許可リストが定義される |
- |
⚪︎ |
Log Analytics ワークスペースへの無料のデータ インジェスト (500 MB) |
Azure Monitor Logs ストア内のデータに対するログクエリの編集と実行ができる |
- |
⚪︎ |
Arcマシンの無料のAzure Update Manager修復 |
Azure Update Manager による異常なリソースの修復 |
- |
⚪︎ |
Just-In-Time 仮想マシン アクセス |
マシンポートをロックダウンして攻撃対象領域を減らす |
- |
⚪︎ |
アダプティブ ネットワークのセキュリティ強化機能 |
|
- |
⚪︎ |
ファイルの整合性の監視 |
ファイル整合性の監視は、攻撃を示す可能性のある変更についてファイルとレジストリを調べる |
- |
⚪︎ |
Docker ホストのセキュリティ強化機能 |
Dockerコンテナーを実行しているLinuxマシンでホストされているコンテナーを評価し、Center for Internet Security (CIS) の Docker ベンチマークと比較 |
- |
⚪︎ |
ネットワーク マップ |
ネットワークリソースを強化するための推奨事項の地図を提供 |
- |
⚪︎ |
エージェントレス スキャン |
クラウド API を使用し Azure仮想マシンをスキャンし、データを収集 |
- |
⚪︎ |
引用:Microsoft
無料モードで利用できる機能
当サービスで無料モードで利用できる機能には以下があります。
- セキュリティに関する推奨事項
- 資産インベントリ
- セキュリティ スコア
- Azure Workbooksを使用したデータの視覚化とレポート
- データのエクスポート
- ワークフローの自動化
- 修復のためのツール
- Microsoftクラウドセキュリティベンチマーク
各機能はAzureだけでなく、AWS、GCP、オンプレミスのリソースに対して適用可能です。
まとめ
Microsoft Defender for Cloudは、ハイブリッド・マルチクラウド環境へのセキュリティ対応を強く押し出しているサービスです。幅広いプラットフォームに対して複雑な設定も必要なくCSPM・CWPを展開できる点は、運用担当者にとって大きなメリットとなるでしょう。また、変化し続けるIT環境に対して最先端のセキュリティ環境で対応できることも重要なポイントです。日々巧妙化する脅威から重要なシステムを保護するための施策として、Microsoft Defender for Cloudを活用してみてはいかがでしょうか。