「Azure Security Centerの使い方がよく分からない」「クラウドセキュリティを強化したいけれど、具体的なサービスが知りたい」といった悩みを持つ企業も多いのではないでしょうか。
本記事では、Azure Security Center(現在の名称はMicrosoft Defender for Cloud)の基本機能やセキュリティ強化のための具体的な手順を、詳しく解説していきます。
Azureだけではなく、オンプレミスの環境やAWS、GCPのセキュリティまでもが一括管理できる便利なサービスです。概要を理解した上で導入を検討しましょう。
また、Azureの概要については、下記の記事で解説しています。ぜひ本記事と併せてご覧ください。
★詳しくはこちら:
Microsoft Azureとは|何ができる?入門内容からわかりやすく解説
Azure Security Centerの概要
インターネットの普及に伴いサイバー攻撃も複雑化され、サイバー攻撃によりかなりの被害も出ています。このようなネットワーク上の攻撃を守るためにMicrosoftが提供しているサービスが、Azure Security Centerです。2021年に名称が変更され、Microsoft Defender for Cloudになりました。
Azure Security Centerの役割とは?
Azureで構築したリソースのセキュリティ監視をするサービスが、Azure Security Centerです。Azure上のサービスだけでなく、AWSやGCPといった他企業が提供するクラウドサービスのリソースのセキュリティ管理もサポートしています。さらに、企業が独自に運用するオンプレミスサーバーのセキュリティ監視を行う役割も担っています。
クラウドサービスは、大きくIaaS PaaS SaaSの3種類のサービスに分けられます。
- IaaS:サーバーやネットワークなど基本的なITインフラを提供
- PaaS:アプリを開発・実行するためのプラットフォームを提供
- SaaS:アプリをネット経由で提供
SaaSでは、アプリ内のデータはユーザーが責任を持ち、アプリを動かすサーバーやネットワークのセキュリティ対策は、Microsoftなどのクラウド事業者の責任です。PaaSで構築したアプリや、IaaSで構築したサーバーやネットワークについては、ユーザーがセキュリティ対策を行う責任を持ちます。このように、クラウドサービスでは責任分界点がはっきりとしています。
クラウド事業者が責任を負う箇所はセキュリティを担保してくれます。一方で複雑化した高度なサイバー攻撃からアプリやサーバーを守るためには、ユーザー自身でセキュリティ対策を行わなければなりません。そのセキュリティ対策をサポートしてくれるサービスが、Azure Security Centerです。
Azure Security Centerが提供する主な機能
Azure Security Centerは、3つの主な機能を提供しています。ここからは、その主な機能について詳しく解説しましょう。
現状のセキュリティ体制をスコア化
主な機能の1つ目は、現在のセキュリティ体制をAzureポータル上で確認できる機能です。
Microsoftが推奨するセキュリティ事項に基づき、構築したアプリやリソースの現在の環境が、セキュリティ的に安全か確認し、スコア化(数値化)します。数値化されているため、視覚的に見やすくなりセキュリティ体制の実施を確認する時間の短縮にもつながります。
新たな脅威を防止するための推奨事項(ベストプラクティス)を提案
利用者の環境に合わせた最適なセキュリティ対策を提案する機能が備わっています。
さまざまな脅威からリソースを守るためのベストプラクティスを提供してくれるため、攻撃リスクを最小限に抑えることができるでしょう。これにより、未知の脅威からの保護が向上し、セキュリティレベルが向上します。
また、新たなサイバー攻撃などの脅威を防ぐための提案や異常発生時のセキュリティアラートの生成も行います。
セキュリティ規格の適合状況を分析する
Azure Security Centerでは、現在のクラウド環境やオンプレミスの環境が世界中の国や地域で規定されている規格に適合しているかどうかも分析します。
既定では、「Microsoft クラウドセキュリティベンチマーク」がセキュリティ規格となっています。このベンチマークは、Microsoftが推奨しているコンプライアンスポリシーの集合体です。
このベンチマークに、国や業界のルールに準拠したコンプライアンスポリシーを追加することが可能です。「クラウドセキュリティ」の項目の中から、「規制コンプライアンス」を選択することでコンプライアンスポリシーを追加できますが、こちらは有料プランです。
Azure Security Center 対象のリソースは?
対象リソースは、大きく分けると次の4つがあります。
- Microsoft Azureの各種リソース(一部リソースは有料)
- Amazon Web Services(AWS)
- Google Cloud Platform(GCP)
- オンプレミスのインフラ環境(サーバーやネットワーク)
AWSやGCPといったほかのクラウドサービス、オンプレミスの環境に対するセキュリティ監視ができる点がこのサービスの大きな特徴です。
AWSやGCPと連携させるために、以前はLog Analytics エージェントをAWSやGCPの環境にインストールする必要がありました。しかし、現在は、AWSやGCPのアカウントをMicrosoft Defender for Cloudに登録することで、エージェントレスで連携が可能になっています。
オンプレミスのインフラ環境とAzure Security Centerを連携させるために、「Azure Arc」と呼ばれるサービスを利用します。
Microsoft Defender for Cloudへ
Azure Security Centerですが、2021年に以下のサービスが統合し、新名称になりました。
- Azure Security Center
- Azure Defender
新名称は、Microsoft Defender for Cloudです。
「Azure」のセキュリティだけでなく、「Microsoftのサービス」として、ほかのクラウドサービスやオンプレミスのセキュリティも保護するという意味を込めて、名称変更したという背景があります。
Azure Security Centerとほかのサービスとの関係性
Azure Security Centerは、Azureのセキュリティを強化するための中核的なサービスです。ほかの関連サービスとの連携で、より包括的なセキュリティ対策を提供しています。
Azure Defenderとの違い
まずは、Azure Defenderとの違いについて解説します。
Azure Defenderは、Azureリソースの脅威保護と脆弱(ぜいじゃく)性診断に特化しており、検出された攻撃や異常なアクティビティに対して迅速に対応します。一方のAzure Security Centerは、クラウド全体のセキュリティを監視し、コンプライアンスの順守やセキュリティのベストプラクティスの提案を行ってくれるサービスです。
先ほど解説しましたが、現在この2つのサービスは統合され、Microsoft Defender for Cloudとして提供されています。
Microsoft Sentinelとの比較と違い
Microsoft Sentinelは、Azure Monitorをベースにしたセキュリティ情報とイベントの管理サービスです。
Azureおよびオンプレミス環境からのセキュリティデータを集約し、高度なセキュリティ分析、検出、対応を可能にします。一方、Azure Security Centerは、主にAzureクラウド環境に特化したリソースのセキュリティを監視し、攻撃対策やセキュリティ診断を行います。
両者を連携させることで、Microsoft製品を利用する組織にとって包括的なクラウドセキュリティ対策を取ることが可能です。
Azure Security Centerの価格について
Azure Security Centerは、Microsoft Defender for Cloudに統合し名称が変更されたため、Microsoft Defender for Cloudの料金体系を解説します。
| Foundational CSPM | Defender クラウド セキュリティ態勢管理 (CSPM) | |
|---|---|---|
| 構成の誤りや弱点を修正する セキュリティの推奨事項を提案 |
〇 | 〇 |
| セキュリティ スコア | 〇 | 〇 |
| Microsoft クラウド セキュリティ ベンチマーク |
〇 | 〇 |
| Microsoft Defender for Servers を利用する |
〇 | |
| コンプライアンスポリシーの追加 | 〇 | |
| 攻撃経路の分析 | 〇 | |
| コンテナ環境の脆弱性評価 | 〇 |
Microsoft Defender for Cloudの基本料金
Foundational CSPMと呼ばれるMicrosoft Defender for Cloudの基本プランは、旧Azure Security Centerと同様に無料で利用できます。
- クラウド・オンプレミス環境に対するセキュリティの評価
- 新たな脅威を防止する推奨事項
- セキュリティ評価のスコア化
これらの機能は、次に紹介するDefenderプランをONにしなければ、無料で使うことができます。
基本機能は無料で利用でき、導入しても既存の環境に影響を与えることはないので、積極的に活用していきましょう。
DefenderプランをONにした場合
Microsoft Defender for Cloudには有料の機能もあります。
Defender クラウド セキュリティ態勢管理 (Defender CSPM)と呼ばれるプランで、2023年8月1日までは無料です。また、8月1日からは料金が発生しますが、初回30日間は無料で利用できます。
- Microsoftが既定としているコンプライアンスポリシー以外のガバナンスを個別に利用したい場合
- Microsoft Defender for Serversを利用したい場合
- コンテナ環境で利用するリソースを保護したい
- App Serviceを利用したい場合
- DNSを保護したい場合
上記のような場合は、Defender CSPMを有効化する必要があります。
そして、保護するリソースごとに有効化・無効化の設定をすることで、無駄な費用を抑えることも可能です。
各リソースを保護する料金(2023年7月時点)については、表を参考にしてください。
| サーバー | Microsoft Defender for Servers プラン 1 | 1サーバーにつき、 1時間当たり0.972円 |
|---|---|---|
| Microsoft Defender for Servers プラン 2(1日500MBのデータ容量を含む) | 1サーバーにつき、 1時間当たり2.891円 |
|
| コンテナ | Microsoft Defender for Containers | 1仮想コアにつき、 1時間あたり1.3602円 |
| ストレージ | Microsoft Defender for Storage1 | 1ストレージ アカウント、 1 時間あたり 1.93706円 |
| App Service | Microsoft Defender for App Service | 1App Serviceにつき、 1時間当たり2.891円 |
| DNS | Microsoft Defender for DNS | 100万クエリあたり、 101.182円 |
Defenderプランにする手順については最後に解説します。
Azure Security Centerの脆弱性チェックを有効化する手順
Azure Security Center(現:Microsoft Defender for Cloud)の脆弱性チェックを有効化する手順は以下の通りです。
Azureのサブスクリプション単位で脆弱性診断をONにする
Microsoft Defender for Cloudでは、Azureのサブスクリプションという単位でセキュリティ診断のON/OFFが可能です。
以下がその手順です。
- Azureポータルにサインイン
- ダッシュボードから「サブスクリプション」を選択
- 脆弱性診断を有効化したいサブスクリプションを選択
- 左側のメニューから「セキュリティ」を選択
- 「脆弱性診断」セクションに移動し、「設定」を開く
- 「脆弱性診断を有効にする」オプションをONにし、「保存」をクリック
これにより、選択したサブスクリプション内のリソースに対して脆弱性診断が有効になり、セキュリティの脅威から保護されるようになります。
Azureポータル上でDefenderプランをONにする
続いて、有料プランとなる、DefenderプランをONにする方法を解説します。
- Azureポータルにログイン後、検索バーで「Microsoft Defender for Cloud」と検索
- 下記画像を参考に、「管理」の項目の中から「環境設定」を選択
- DefenderプランをONにしたいサブスクリプションを選択
左上に「設定|Defenderプラン」と表示されていれば、そのページでそれぞれの項目のON/OFFが可能です。
まとめ
本記事では、Azure Security Centerの概要を解説してきました。企業のクラウド化が進む中で、クラウドを使うとセキュリティが不安と思う方も少なくないでしょうが、そんな不安を解消してくれるサービスです。
Azure上で提供されているサービスは、AWSやGCP、オンプレミス環境のリソースのセキュリティ対策ができる点が大きなメリットです。基本機能は無料で利用できるため、セキュリティに不安がある企業は積極的に活用しましょう。
