クラウド セキュリティ態勢管理 (CSPM)

  • [アーティクル]

Microsoft Defender for Cloud の主な柱の 1 つは、クラウド セキュリティ態勢管理 (CSPM) です。 CSPM では、資産とワークロードのセキュリティ状態を詳細に把握でき、セキュリティ態勢を効率的かつ効果的に改善するのに役立つ強化ガイダンスが提供されますます。

Defender for Cloud では、Azure サブスクリプション、AWS アカウント、および GCP プロジェクトに定義されているセキュリティ標準に対してリソースが継続的に評価されます。 Defender for Cloud では、これらの評価に基づいてセキュリティに関する推奨事項が発行されます。

既定では、Azure サブスクリプションで Defender for Cloud を有効にすると、Microsoft クラウド セキュリティ ベンチマーク (MCSB) コンプライアンス標準が有効になります。 推奨事項が提供されます。 Defender for Cloud では、MCSB の推奨事項の一部に基づいて集約されたセキュリティ スコアが提供されます。 スコアが高いほど、特定されたリスク レベルは低くなります。

CSPM の機能

Defender for Cloud によって、次の CSPM オファリングが提供されます。

  • 基本的な CSPM - Defender for Cloud によって、基本的なマルチクラウド CSPM 機能が無料で提供されます。 これらの機能は、Defender for Cloud にオンボードするサブスクリプションとアカウントに対して既定で自動的に有効になります。

  • Defender クラウド セキュリティ態勢管理 (CSPM) プラン - オプションの有料の Defender for Cloud セキュリティ態勢管理プランでは、より高度なセキュリティ態勢機能が提供されます。

プランの可用性

Defender CSPM の価格の詳細をご確認ください。

次の表は、各プランとそこでのクラウドの可用性をまとめたものです。

機能 基本的な CSPM Defender CSPM クラウドでの利用可否
セキュリティに関する推奨事項 Azure、AWS、GCP、オンプレミス
資産インベントリ Azure、AWS、GCP、オンプレミス
セキュリティ スコア Azure、AWS、GCP、オンプレミス
Azure Workbooks を使用したデータの視覚化とレポート Azure、AWS、GCP、オンプレミス
データのエクスポート Azure、AWS、GCP、オンプレミス
ワークフローの自動化 Azure、AWS、GCP、オンプレミス
修復のためのツール Azure、AWS、GCP、オンプレミス
Microsoft クラウド セキュリティ ベンチマーク Azure, AWS, GCP
セキュリティ ガバナンス - Azure、AWS、GCP、オンプレミス
規制コンプライアンス標準 - Azure、AWS、GCP、オンプレミス
クラウド セキュリティ エクスプローラー - Azure, AWS, GCP
攻撃パス分析 - Azure, AWS, GCP
マシンのエージェントレス スキャン - Azure, AWS, GCP
エージェントレス コンテナー セキュリティ態勢 - Azure, AWS, GCP
コンテナー レジストリの脆弱性評価 (レジストリ スキャンを含む) - Azure, AWS, GCP
データ対応セキュリティ態勢 - Azure, AWS, GCP
ネットワーク露出の EASM 分析情報 - Azure, AWS, GCP
Permissions Management (Preview) - Azure, AWS, GCP

Note

2024 年 3 月 7 日以降、セキュリティ エクスプローラーと攻撃パスを強化するコードからクラウドへのコンテキスト化、およびコードとしてのインフラストラクチャのセキュリティ結果の pull request 注釈を含む、プレミアム DevOps セキュリティ機能を利用するには、Defender CSPM を有効にする必要があります。 詳細については、DevOps セキュリティのサポートと前提条件に関するページを参照してください。

統合 (プレビュー)

Microsoft Defender for Cloud には現在、サードパーティ システムを使用してチケット、イベント、顧客との対話をシームレスに管理および追跡するのに役立つ統合が組み込まれています。 推奨事項をサードパーティのチケット ツールにプッシュし、修復の責任をチームに割り当てることができます。

統合により、インシデント対応プロセスが合理化され、セキュリティ インシデントを管理する機能が向上します。 セキュリティ インシデントをより効果的に追跡し、優先順位を付け、解決することができます。

統合するチケット発行システムを選択できます。 プレビューでは、ServiceNow 統合のみがサポートされています。 ServiceNow 統合を構成する方法の詳細については、ServiceNow と Microsoft Defender for Cloud との統合 (プレビュー) に関するページを参照してください。

プランの価格

  • Defender CSPM の価格については、Defender for Cloud の価格に関するページを確認してください。

  • 2024 年 3 月 7 日以降、高度な DevOps セキュリティ態勢機能は、有料の Defender CSPM プランでのみ利用できます。 Defender for Cloud での無料の基本的なセキュリティ態勢管理では、引き続き多くの Azure DevOps の推奨事項が提供されます。 DevOps セキュリティ機能の詳細情報。

  • Defender CSPM および Defender for Containers プランの両方を使用するサブスクリプションの場合、無料の脆弱性評価は、「Microsoft Defender for Cloud の価格」ページに要約されているとおり、Defender for Containers プランを介して提供される無料イメージ スキャンに基づいて計算されます。

  • Defender CSPM は、すべてのマルチクラウド ワークロードを保護しますが、課金は特定のリソースにのみ適用されます。 次の表に、Azure サブスクリプション、AWS アカウント、または GCP プロジェクトで Defender CSPM が有効になっている場合の課金対象リソースの一覧を示します。

    Azure サービス リソースの種類 除外
    Compute Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines    		 - 割り当て解除済み VM
    - Databricks VM
    記憶域 Microsoft.Storage/storageAccounts BLOB コンテナーまたはファイル共有のないストレージ アカウント
    データベース Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse ワークスペース    		 ---
    AWS サービス リソースの種類 除外
    Compute EC2 インスタンス 割り当て解除済み VM
    記憶域 [S3 Buckets] (S3 バケット) ---
    データベース RDS インスタンス ---
    GCP サービス リソースの種類 除外
    Compute 1.Google コンピューティング インスタンス
    2.Google インスタンス グループ    		 実行されていない状態のインスタンス
    記憶域 ストレージ バケット - クラスからのバケット: ‘ニアライン’、‘コールドライン’、‘アーカイブ’
    - リージョン以外のバケット: europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1
    データベース クラウド SQL インスタンス ---

Azure クラウド サポート

商用および国内のクラウド カバレッジについては、「Azure クラウド環境でサポートされている機能」を確認してください。

AWS と GCP でのリソースの種類のサポート

基本的なマルチクラウド CSPM レベルでのリソースの種類 (またはサービス) のマルチクラウド サポートについては、AWS と GCP のマルチクラウド リソースとサービスの種類の表を参照してください。

次のステップ