ビジネススピードの加速や柔軟なシステム運用を求めて、クラウドサービスを利用する企業は年々増加しています。企業によってクラウドサービスの利用環境はさまざまで、既存のオンプレミス環境と並行稼動するハイブリッドクラウド環境や、複数のクラウドサービスを併用するマルチクラウド環境も多いです。これらはそれぞれのメリットを享受できる反面、複数のプラットフォームにまたがることから管理が煩雑になりがちなことが課題となっています。また、これによってセキュリティリスクが増大する懸念もあります。Microsoft Defender for Cloudはこの課題を解決するサービスとして、Azureだけでなくオンプレミスや他のクラウドサービスのリソースも保護することが可能です。本記事では、Microsoft Defender for Cloudの概要や機能、特徴について解説します。
Microsoft Defender for Cloudとは
Microsoft Defender for Cloudは、クラウド環境のセキュリティ体制管理と脅威保護のためのツールです。Azure上のリソースだけでなく、オンプレミス環境やAWSやGCPなど、Azure以外のクラウドサービス内のリソースも保護できます。2021年11月にこれまで「Azure Security Center」と「Azure Defender」と呼ばれていた2つのソリューションが統合されたもので、マルチクラウドに対応するため「Azure」から「Microsoft」へと名前が切り替えられました。Microsoft Defender for Cloudの機能はCSPM、CWPPの2つを柱としています。CWPP、CSPMはクラウド環境でセキュリティポリシーの一元管理を可能にするソリューションです。
クラウドセキュリティ体制管理(CSPM)
CSPMソリューションは、クラウド環境における問題の評価、検出、ログの記録、レポートを自動的に行います。これにより現在のセキュリティ状況の把握、効率的かつ効果的なセキュリティレベルの向上に役立ちます。Microsoft Defender for Cloudでは、セキュリティの問題についてリソース、サブスクリプション、組織を継続的に評価したものをセキュリティスコアで表します。Microsoft Defender for Cloudを起動して最初に表示されるダッシュボードから一目で現在の状況が把握できるため、リスクの予防やセキュリティ設定の改善に役立ちます。
引用:https://azure.microsoft.com/ja-jp/services/defender-for-cloud/#overview
クラウドワークロード保護(CWP)
CWPソリューションは、クラウド環境のワークロードを構成するリソースを、その種類や場所を問わずに自動的に保護する技術のことです。リソースは仮想マシン、コンテナ、ストレージ、データベース、アプリケーションなどが該当します。Microsoft Defender for Cloudでは、サブスクリプション内のリソースの種類に固有のMicrosoft Defenderプランを有効にすることで提供されます。たとえばMicrosoft Defender for Storageを有効にすると、ストレージに関する脅威から保護することができます。
Microsoft Defender for Cloudのセキュリティ要件
Microsoft Defender for Cloudの機能は、以下の3つのセキュリティ要件を満たします。
セキュリティ評価
セキュリティの状態を継続的に評価しセキュリティスコアで表すことで、一目で現在のセキュリティ状態が把握できます。セキュリティスコアはAzure上のワークロード、データ、およびサービスのセキュリティを強化するための規範的なベストプラクティスとされている「Azureセキュリティベンチマーク」と、接続されているリソースを比較して生成されます。これによりハイブリッド・マルチクラウド環境のそれぞれの基準に重複するプロセスも一貫して評価することが可能です。セキュリティスコアが高いほど、リスクレベルは低いと理解できます。
セキュリティ保護
Microsoft Defender for Cloudに接続されているハイブリッド・マルチクラウド環境すべてのリソースとサービスを保護・強化します。Azureで設定されている「セキュリティに関する推奨事項」に従い、リソースとサービスの構成を調整し、コンプライアンスのニーズを満たすことを確認します。組織のニーズに合わせてセキュリティポリシーをカスタムすることも可能です。多くのオプションを使用してセキュリティ管理を一元的に行います。
脅威からの防御
強化されたセキュリティ機能を有効にすることで、リソースに対する脅威が検出されます。脅威が検知されるとセキュリティアラートとしてAzure Portalに表示され、担当者にメール通知することも可能です。高度な行動分析により巧妙化するサイバー攻撃に対応し、脅威の予防、早期発見、早期解決を目指します。
Microsoft Defender for Cloudの保護対象
Microsoft Defender for Cloudの保護対象について解説します。
Azureネイティブ
多くのAzureサービスは自動的にMicrosoft Defender for Cloudにおいて監視および保護対象となり、次のような脅威を検出するのに役立ちます。
AzurePaaSサービス
Azure App Service、Azure SQL、Azure Storageアカウント、その他のデータサービスを含むAzureサービスを対象とした脅威を検出します。シャドーITを防ぐCASB製品であるMicrosoft Defender for Cloud Appsと連携し、Azureアクティビティログで異常を検出することも可能です。
Azureデータサービス
Azure SQL、ストレージサービス全体の潜在的な脆弱性の評価、緩和する方法の推奨事項を取得できます。
ネットワーク
ネットワークを通じたブルートフォース攻撃から保護することも可能です。仮想マシンの管理ポートを必要な時にだけ、必要な時間、必要なコンピュータに対してのみアクセスを許可する機能である「Just-In-Time VM アクセス」を有効にすれば、不要なアクセスを防止してネットワーク保護を強化できます。
ハイブリッドリソース
オンプレミス環境のマシンをMicrosoft Defender for Cloudの保護対象とするには、マシンにエージェントをインストールしてAzure Arcをデプロイします。Azure Arcとはハイブリッド・マルチクラウド環境を統合管理できるサービスです。さらに、強化されたセキュリティ機能を有効にすることで、オンプレミスリソースへ保護機能を拡張できます。
マルチリソース
AWSやGCPなどのAzure以外のクラウド環境のリソースを保護対象とするには、AWS・GCPのアカウントをAzureサブスクリプションに接続します。さらに、強化されたセキュリティ機能を有効にすることでMicrosoft Defender for Cloudの機能をマルチリソースへ拡張できます。たとえばAWSアカウントを接続した場合、以下の保護を有効にできます。
Defender for CloudのCSPM機能
AWSリソースへCSPM機能を拡張し、AWS固有のセキュリティ推奨事項に従ってAWSリソースを評価します。
Microsoft Defender For Kubernetes
コンテナの脅威検出と高度な防御機能がAmazon EKS Linuxクラスタまで拡張されます。
Microsoft Defender for servers
Windows、LinuxのEC2インスタンスへ脅威検出と高度な防御機能が拡張されます。
Microsoft Defender for Cloudの機能
Microsoft Defender for Cloudは無料と有料の2つのモードから選択できます。無料モード、有料モードそれぞれで提供される機能について解説します。
強化されたセキュリティ機能を無効にする
無料で利用できるモードです。すべてのAzureサブスクリプションのAzureリソースのみが対象となります。このモードでは継続的なセキュリティ評価が行われ、それに基づくセキュリティスコア、Azureリソースの保護に役立つセキュリティの推奨事項が表示されます。またセキュリティポリシーの設定も可能です。
強化されたセキュリティ機能を有効にする
強化されたセキュリティ機能を有効にすると、最初の30日間は無料で利用でき、以降継続する場合は使用量に応じて課金されます無料モードの機能がハイブリッド・マルチクラウド環境まで拡張されるほか、以下のような強化されたセキュリティ管理・脅威防止機能が追加されます。
Microsoft Defender for Endpoint
保護対象となるサーバにはEDR製品であるMicrosoft Defender for Endpointの機能が含まれます。Microsoft Defender for Endpointと連携するメリットとして、Microsoft Defender for Endpointのより高度な侵害検出センサーにより、デバイスのあらゆる信号を収集できる点などが挙げられます。
リソースの脆弱性評価
脆弱性評価ソリューションを有効にすることで、仮想マシン、コンテナ、レジストリ、SQLリソースの脆弱性を評価します。結果の調査や修復もDefender for Cloudポータル内から直接実行できます。
脅威防止アラート
高度な行動分析と機械学習を利用し、日々進化する各種サイバー攻撃を特定します。ネットワーク、マシン、データストアなどを監視し、状況に応じた脅威インテリジェンスにより調査を効率化し、アラートを生成します。
さまざまな標準でのコンプライアンスの追跡
Microsoft Defender for Cloudでは、無料モードでAzureセキュリティベンチマークに従ってクラウド環境を継続的に評価します。有料モードでは組織のニーズに応じてほかの業界標準や規制標準、ベンチマークを適用することも可能です。
Microsoft Defender for Cloudの有効化
Microsoft Defender for Cloudを有効化すると、Azureリソースのみが対象の制限されたセキュリティ機能が提供されます。さらに強化されたセキュリティ機能を有効化し、ハイブリッド・マルチクラウド環境のリソースを接続することですべての環境へセキュリティ機能を拡張できます。Microsoft Defender for Cloudの有効化、強化されたセキュリティ機能の有効化手順について解説します。
1. Azure サブスクリプションでMicrosoft Defender for Cloud を有効にする
Azure Portalのメニューから[Defender for Cloud]を選択します。
Defender for Cloudの概要ページが開きます。このページに初めてアクセスするときに、Defender for Cloudの無料プランが自動的に有効になります。
引用:https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/get-started
2. 強化されたセキュリティ機能をAzure portalから有効にする
Azure外のリソースにDefender for Cloudの機能を拡張したり、脅威防止などのすべての機能を利用するには、[強化されたセキュリティ機能]を有効にします。
2-1.Defender for Cloud のメイン メニューで [環境設定] を選択します。
2-2.保護するサブスクリプションまたはワークスペースを選択します。
2-3.[すべての Microsoft Defender プランの有効化] を選択します。
※保護するリソースの種類ごとに個別に有効・無効の設定をすることも可能です。
2-4.[保存] を選択します。
引用:https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/enable-enhanced-security
Microsoft Defender for Cloudを利用するメリット
Microsoft Defender for Cloudを利用するメリットについて解説します。
クラウド環境に強力なセキュリティ対策ができる
Microsoft Defender for Cloudが提供するCSPM・CWPソリューションは、クラウド環境が抱えるセキュリティ課題を強力にカバーします。セキュリティ状態の評価・可視化・リソースの保護・防御を自動的に行ってくれるため、安心してシステムを運用できます。
ハイブリッド・マルチクラウド環境を一元的に管理できる
ハイブリッド・マルチ環境にまたがるサービスやリソースを一元的に管理・保護できる点は運用面で大きなメリットです。プラットフォームごとにセキュリティ対策を行うのは多くのリソースやコストが必要になる上、リスクも増えます。Microsoft Defender for CloudならAzure Portalから一括で各環境に分散しているすべてのリソースを効率よく管理でき、問題の早期検知・解決にもつながります。
最新の脅威への対応が期待できる
Microsoft Defender for Cloudは高度な行動分析や機械学習により、巧妙化するサイバー攻撃やゼロデイ攻撃に対応します。今後も新機能の追加や改良が多く予定されているため、セキュリティ課題に対して最新のソリューションによる画期的な解決策を提示してくれるでしょう。
まとめ
Microsoft Defender for Cloudは、ハイブリッド・マルチクラウド環境へのセキュリティ対応を強く押し出しているサービスです。幅広いプラットフォームに対して複雑な設定も必要なくCSPM・CWPを展開できる点は、運用担当者にとって大きなメリットとなるでしょう。また、変化し続けるIT環境に対して最先端のセキュリティ環境で対応できることも重要なポイントです。日々巧妙化する脅威から重要なシステムを保護するための施策として、Microsoft Defender for Cloudを活用してみてはいかがでしょうか。
