クラウド上で発生するセキュリティインシデントの約99%は、ユーザーによる設定ミスが原因と言われています。
Azure、AWS、GCPを併用している企業も多い中、自社のクラウド環境がきちんと管理されているか、気になるところではないでしょうか。
もしオンプレミスと複数のクラウド環境を一括で監視し、設定ミスやリスクを即座に検知できれば、より安心してクラウドを活用できるはずです。
そこで今回は、それを実現する「Microsoft Defender for Cloud」について解説します。
クラウドにおいて必要なセキュリティ対策
まず、クラウド時代に求められるセキュリティ対策について整理しましょう。
クラウドが一般化している今、従来のオンプレミスのセキュリティ対策に加え、以下の3つの分野が特に重要です。
- 構成ミスの特定
クラウドは環境を容易に構築できますが、手軽さゆえにポート制御のミスや設定の誤りがセキュリティリスクを引き起こす大きな要因となっています。 - 異なるシステム形態の保護
クラウド上では、IaaS、PaaS、コンテナなどさまざまなシステムが稼働しています。それぞれのセキュリティ保護を理解し設定する必要があります。 - IDの保護
情報システム部門だけでなく、開発者や事業部門のメンバーもクラウドを利用していくと、IDやユーザーアカウントの保護がますます重要となります。
これらの課題を解決するために注目されているのが、クラウド設定のミスを防ぐ「CSPM (Cloud Security Posture Management)」と、複数クラウドのワークロードを統合的に監視・保護する「CWPP (Cloud Workload Protection Platform)」です。
Microsoft Defender for Cloudとは?
Microsoft Defender for Cloudは、Azure上で提供される包括的なセキュリティサービスで、クラウド環境のセキュリティ管理に必要なCSPMとCWPPを提供します。もともとは「Azure Security Center」と「Azure Defender」として知られていましたが、2021年に「Microsoft Defender for Cloud」に名称が変更されました。
Defender for Cloud のCSPM機能
Defender for CloudのCSPM機能は、クラウド環境における設定ミスを防ぎます。具体的には、以下の機能を提供します。
- コンプライアンス評価:各クラウド環境がセキュリティ基準に準拠しているかを評価。
- リスク特定:潜在的なセキュリティリスクを検出し、対応策を提示。
- 運用監視:リアルタイムでセキュリティ状態を監視。
- ポリシー強制:セキュリティポリシーを自動適用し、逸脱を防止。
- DevSecOps統合:開発プロセスにセキュリティを組み込み、コードレベルでの保護を強化。
- 脅威からの保護:サイバー脅威への対応を強化。
Defender for Cloud のCWPP機能
Defender for CloudのCWPP機能は、クラウド上のワークロードを保護し、脅威への対応を支援します。主な機能は以下の通りです。
- 脆弱性スキャン:クラウドワークロードの脆弱性を定期的にスキャンし、リスクを低減。
- ファイル改ざん検知:重要なファイルの改ざんをリアルタイムで検出。
- アプリケーション制御:不正なアプリケーションの実行を防止。
- サーバーのハーデニング:セキュリティ強化策を適用してサーバーの防御力を向上。
Defender for Cloudは、IaaSのアンチウイルスやEDRのような役割を果たし、PaaSにもセキュリティの防御壁を追加することができます。
Defender for Cloud の導入タイミング
Defender for Cloudは、既存の環境に影響を与えないためいつでも導入可能です。新たにクラウド環境を構築する際や、既存の環境に後から追加する場合にも問題なく対応できます。
Defender for Cloud の導入メリット
Defender for Cloudを導入することで、クラウドセキュリティにおける3つの重要なニーズを満たすことができます。
- 複数環境のセキュリティ評価
AzureやAWS、GCP、オンプレミス環境も含め、セキュリティ状態を一元的に評価し、リスクや強化ポイントを特定します。 - 既知の脅威からの保護
AzureセキュリティベンチマークやAWSのベストプラクティスに基づき、クラウドリソースを既知の脅威から保護します。 - 未知の脅威への対策
AIを活用してセキュリティアラートを分析し、未知の攻撃パターンも検出します。
Defender for Cloudを導入すれば、オンプレミスとクラウドの両方でインシデントを未然に防ぎ、リスク発生時には迅速な対応が可能です。また、セキュリティツールを複数使用している場合に発生する余計なコストを削減できるというメリットもあります。
導入企業からの評価
Forrester社のレポート「A FORRESTER TOTAL ECONOMIC IMPACT™」によると、Defender for Cloudを導入した企業は次の成果を報告しています。
- クラウドワークロードのセキュリティ侵害リスクを最大25%削減
- 脅威対応までの時間を50%短縮
- セキュリティポリシーやコンプライアンス関連業務を30%迅速化
- サードパーティセキュリティツールへの支出を年間20万ドル以上削減
Defender for Cloud の保護対象
Defender for Cloudが保護する対象は以下の通りです。Defender for Cloudを導入することで、マルチクラウドおよびハイブリッド環境における包括的なセキュリティ対策を実現できます。
- Azure IaaS
- Azure PaaS
- Azure ネットワーク
- AWS
- GCP
- オンプレミスのワークロード
Defender for Cloud 利用にかかるコスト
Microsoft Defender for Cloudは、「強化されたセキュリティ機能」をONにするかOFFにするかで費用が異なります。
強化されたセキュリティ機能OFFの場合 → 無償
セキュリティ機能がOFFの状態では無償でDefender for Cloudを利用可能です。ライセンス購入は不要で、Azure ポータルよりDefender for Cloudが利用ができ、Azureサブスクリプション全体に適用されます。
無償で提供される主な機能は以下の通りです。
- セキュリティスコア
組織全体のセキュリティ状態を数値でスコアリングし、リスクの特定に役立てます。 - セキュリティポリシーの管理
「リソースの種類の制御」や「タグの強制適用」など、ポリシーの作成と適用が可能です。 - 基本的な推奨事項の提示
定期的にコンプライアンスステータスを評価し、セキュリティリスクに対する修正策を提案します。
さらに、PlaybookやLogic Appを使用して、リスク検知後の自動対応を実装することもできます。たとえば、特定のリスクが発生した際にTeamsに通知を送信し、対応を指示するなどの自動化が可能です。
強化されたセキュリティ機能ONの場合 → 有償
有償プランでは、リソースやセキュリティレベルに応じた料金が発生します。強化された機能には、より高度なセキュリティ対策が含まれます。
| 項目 | 価格 |
| Microsoft Defender for Servers プラン1 | ¥0.972/サーバー/時間 |
| Microsoft Defender for Servers プラン2 | ¥2.891/サーバー/時間(500MB/日までのデータ含む) |
| Microsoft Defender for Containers | ¥1.3599/仮想コア/時間 |
| Microsoft Defender for SQL(Azure内) | ¥2.970/インスタンス/時間 |
| Microsoft Defender for SQL(Azure外) | ¥2.168/仮想コア/時間 |
| Microsoft Defender for MySQL | ¥2.970/インスタンス/月 |
| Microsoft Defender for PostgreSQL | ¥2.920/インスタンス/月 |
| Microsoft Defender for MariaDB | ¥2.712/インスタンス/時間 |
| Microsoft Defender for Cosmos DB | ¥0.1735/100 RU/時間 |
| Microsoft Defender for Storage | ¥1.9366/ストレージアカウント/時間 |
| Microsoft Defender for App Service | ¥2.891/インスタンス/時間 |
| Microsoft Defender for Key Vault | ¥36.87/Vault/月 |
| Microsoft Defender for Resource Manager | ¥727.93/サブスクリプション/月 |
有償プランで利用可能な主な機能
- 規制コンプライアンスダッシュボード
PCI-DSSやCISなどの基準に対して、環境がどの程度準拠しているかを確認し、リスクを可視化します。無償版でもCIS、PCI-DSS、NISTのコントロールが自動適用されます。 - AWS、GCPアカウントとの接続
AWSやGCPのセキュリティ構成情報を取得し、Defender for Cloudで統合的に分析できます。 - ハイブリッドセキュリティ管理
オンプレミスのワークロードやファイアウォールなどのパートナーソリューションからセキュリティデータを収集・分析します。 - 脅威防止アラート
行動分析と機械学習を活用し、ゼロデイ攻撃や高度なサイバー攻撃に対するアラートを提供します。
各プランによって提供される特定の機能が異なるため、ビジネス要件や使用するリソースに基づいて適切なプランを選択することが重要です。
Defender for Server Plan 1 の主な機能
- Defender for Endpoint
Defender for Cloud Plan 1 には、Microsoft のエンドポイント検出と応答 (EDR) 機能である Defender for Endpoint が含まれています。サーバー向けに設計されており、Windows と Linux の両方に対応しています。 - 仮想マシンの脆弱性評価
サードパーティや外部脅威情報と連携し、ソフトウェアの脆弱性を視覚的に表示できます。Defender for Endpoint のダッシュボードで脆弱性評価が可能なため、既に利用している場合は一元管理が容易です。
Defender for Server Plan 2 の主な機能
- Qualysによる脆弱性評価
仮想マシンの脆弱性評価ツールとして、Qualys を選択できます。 - Just-In-Time (JIT) VM アクセス
管理上、RDP や SSH を開ける必要がある場合でも、不要な時には自動的にポートを閉じることで外部攻撃のリスクを軽減します。 - アダプティブネットワーク セキュリティ強化
実際のトラフィックパターンに基づいて最適な NSG (ネットワーク セキュリティ グループ) ルールを提案し、ネットワークのセキュリティを強化します。 - ファイルの整合性監視
OSファイル、Windows レジストリ、Linuxシステムファイルなどの変更を監視し、攻撃の兆候を早期に検知します。 - ネットワークマップ
Azure ネットワークのトポロジーを可視化し、仮想ネットワークやサブネットのセキュリティ状態を一目で確認できます。どのポートが開いているかや、リスク箇所が一目でわかります。
Defender for SQL の主な機能
- 異常検知とアラート
高権限の操作が通常と異なるパターンで行われた場合に、異常を検知してアラートを発します。外部からの攻撃は WAF で防止し、内部からの攻撃も管理ポートや API 経由で検知できます。 - 脆弱性評価
誤設定や過剰なアクセス権を検知し、セキュリティリスクを把握します。
Defender for Storage の主な機能
- 異常なアクティビティ検出
ストレージ内の不正なアクティビティやファイルのスキャンが可能です。BLOB や Data Lake を含む様々なストレージに対応しています。
Defender for Key Vault の主な機能
- 異常なアクセスの検知
Key Vault アカウントに対する不正なアクセスや悪用の試みを検知します。
Defender for App Service の主な機能
- 多様な脅威の検出
異常なアクセスや未使用の DNS レコードを利用した攻撃など、多様な脅威を検出します。
最初の 30 日間は有償機能も無料でお試しいただけます。ぜひ、すべての機能をお試しください。
最後に
Defender for Cloud は、さまざまなワークロードのセキュリティを一括で管理できる便利なツールです。
ただし、表示されるアラートや推奨事項をそのまま実行するだけで良いかというと、必ずしもそうではありません。Azureの設計や今後の利用計画によっては、必須でない推奨事項が表示されることもあります。
つまり、Defender for Cloud の推奨事項は非常に有効な判断材料になりますが、最適な対応を行うにはAzureやクラウドの知識が必要です。
さとりファクトリでは、IT支援サービスをご利用いただいているお客様向けにDefender for Cloud だけでは判断が難しい推奨事項の重要度や、Azureサービスのリソース状況を整理し、現状の利用状況を改善するための提案を行います。Azureの導入をご検討中の方や、現在の利用環境をより良くしたい方は、ぜひお気軽にご相談ください。
コメント