Microsoft Defender for Cloud で Permissions Management を有効にする (プレビュー)
概要
クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) は、組織がクラウド インフラストラクチャ内のユーザー アクセスとエンタイトルメントを管理および制御するのに役立つセキュリティ モデルです。 CIEM は、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) ソリューションの重要なコンポーネントであり、誰または何が特定のリソースにアクセスできるかを可視化します。 これにより、アクセス権が最小特権の原則 (PoLP) に従うことが保証され、ユーザーまたはワークロード ID (アプリやサービスなど) は、タスクの実行に必要な最小限のアクセス レベルのみを受け取ります。
Microsoft は、CNAPP ソリューションと CIEM ソリューションの両方を、Microsoft Defender for Cloud (CNAPP) と Microsoft Entra Permissions Management (CIEM) を使用して提供します。 Defender for Cloud に Permissions Management の機能を統合すると、クラウド環境での過剰なアクセス許可や構成ミスが原因で発生する可能性のあるセキュリティ侵害の防止を強化できます。 Permissions Management は、クラウド エンタイトルメントを継続的に監視および管理することで、攻撃面を検出し、潜在的な脅威を検出し、アクセス許可を適切に設定し、規制基準への準拠を維持するのに役立ちます。 これにより、Permissions Management の分析情報は、クラウドネイティブ アプリケーションをセキュリティで保護し、クラウド内の機密データを保護するために Defender for Cloud の機能を統合およびエンリッチする上で不可欠になります。
この統合により、Microsoft Entra Permissions Management スイートから得られる以下の分析情報が、Microsoft Defender for Cloud ポータルに取り込まれます。 詳細については、「機能マトリックス」を参照してください。
一般的なユースケースとシナリオ
Microsoft Entra Permissions Management の機能は、Defender クラウド セキュリティ態勢管理 (CSPM) プラン内の重要なコンポーネントとしてシームレスに統合されています。 統合される機能は基本となるものであり、Microsoft Defender for Cloud 内で不可欠な機能を提供します。 これらの追加機能を使用することで、アクセス許可の分析、アクティブな ID に対する未使用のアクセス許可、および過剰なアクセス許可を持つ ID を追跡し、それらを軽減して最小特権のベスト プラクティスをサポートできます。
新しい推奨事項は、Defender for Cloud ダッシュボードの [推奨設定] タブの [アクセスとアクセス許可の管理] セキュリティ制御にあります。
プレビューの前提条件
| 特徴 | 詳細 |
|---|---|
| 必須または優先環境要件 | Defender CSPM これらの機能は Defender CSPM プランに含まれており、追加のライセンスは必要ありません。 |
| 必要なロールとアクセス許可 | AWS/GCP セキュリティ管理者 Application.ReadWrite.All Azure セキュリティ管理者 Microsoft.Authorization/roleAssignments/write |
| クラウド |  Azure、AWS、GCP 商用クラウド  国家/ソブリン (US Gov、China Gov、その他の Gov) |
Azure の Permissions Management を有効にする
Azure portal にサインインします。
上部の検索ボックスで、Microsoft Defender for Cloud を検索します。
左側のメニューで、[Management/Environment settings] (管理/環境設定) を選択します。
DCSPM CIEM プランを有効にする Azure サブスクリプションを選択します。
[Defender プラン] ページで、Defender CSPM プランが有効になっていることを確認します。
プランの設定を選択し、[アクセス許可の管理] 拡張機能を有効にします。
続行を選択します。
[保存] を選択します。
数秒後に、次のようになります。
サブスクリプションに、クラウド インフラストラクチャ エンタイトルメント管理アプリケーションの新しい閲覧者が割り当てられます。
新しい Azure CSPM (プレビュー) 標準がサブスクリプションに割り当てられます。
数時間以内に、サブスクリプションに適用される Permissions Management の推奨事項を確認できるようになります。
[推奨設定] ページに移動し、関連する環境のフィルターがオンになっていることを確認します。 Initiative= "Azure CSPM (Preview)" でフィルター処理すると、次の推奨設定がフィルター処理されます (該当する場合)。
Azure の推奨設定 :
- Azure のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります
- Azure 環境内のスーパー ID を削除する必要があります
- Azure 環境内の未使用 ID を削除する必要があります
AWS で Permissions Management を有効にする
AWS アカウントを Defender for Cloud に接続する手順に従います。
選択したアカウントまたはプロジェクトについて、以下のようにします。
一覧から ID を選択すると、[設定 | Defender プラン] ページが開きます。
ページの下部にある [次へ: プランの選択 >] ボタンを選択します。
Defender CSPM プランを有効にします。 プランが既に有効になっている場合は、[設定] 選択し、[アクセス許可の管理] 機能を有効にします。
ウィザードの指示に従って、新しい Permissions Management 機能でプランを有効にします。
[アクセスの構成] を選択し、適切なアクセス許可の種類を選びます。 ['AWS CloudFormation'/'Terraform' スクリプト] のデプロイ方法を選びます。
デプロイ テンプレートには、既定のロール ARN 名が自動入力されます。 ハイパーリンクを選択すると、ロール名をカスタマイズできます。
更新された CFT/terraform スクリプトをお使いの AWS 環境で実行します。
[保存] を選択します。
数秒後、新しい AWS CSPM (プレビュー) 標準がセキュリティ コネクタに割り当てられます。
数時間以内に、AWS セキュリティ コネクタに適用される Permissions Management の推奨事項が表示されます。
[推奨設定] ページに移動し、関連する環境のフィルターがオンになっていることを確認します。 Initiative= "AWS CSPM (Preview)" でフィルター処理すると、次の推奨設定が返されます (該当する場合)。
AWS の推奨設定:
AWS のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります
AWS 環境内の未使用 ID を削除する必要があります
Note
Permissions Management (プレビュー) 統合を通じて提供される推奨設定は、Azure Resource Graph からプログラムで入手できます。
GCP で Permissions Management を有効にする
Microsoft Defender for Cloud にGCP アカウントを接続する手順に従います。
選択したアカウントまたはプロジェクトについて、以下のようにします。
一覧から ID を選択すると、[設定 | Defender プラン] ページが開きます。
ページの下部にある [次へ: プランの選択 >] ボタンを選択します。
Defender CSPM プランを有効にします。 プランが既に有効になっている場合は、[設定] 選択し、[アクセス許可の管理] 機能を有効にします。
ウィザードの指示に従って、新しい Permissions Management 機能でプランを有効にします。
更新された CFT/terraform スクリプトをお使いの GCP 環境で実行します。
[保存] を選択します。
数秒後、新しい GCP CSPM (プレビュー) 標準がセキュリティ コネクタに割り当てられます。
数時間以内に、GCP セキュリティ コネクタに適用される Permissions Management の推奨事項が表示されます。
[推奨設定] ページに移動し、関連する環境のフィルターがオンになっていることを確認します。 Initiative= "GCP CSPM (Preview)" でフィルター処理すると、次の推奨設定が返されます (該当する場合)。
GCP の推奨設定:
GCP のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります
GCP 環境内のスーパー ID を削除する必要があります
GCP 環境内の未使用 ID を削除する必要があります
既知の制限事項
- Microsoft Entra Permissions Management に最初にオンボードされた AWS または GCP アカウントは、Microsoft Defender for Cloud を介して統合することはできません。
機能マトリックス
統合機能は Defender CSPM プランの一部であり、Microsoft Entra Permissions Management (MEPM) ライセンスは必要ありません。 MEPM から受け取ることができる追加機能の詳細について、機能マトリックスを参照してください。
| カテゴリ | 機能 | Defender for Cloud | 権限管理 |
|---|---|---|---|
| 発見 | Azure、AWS、GCP での危険な ID (未使用の ID、オーバープロビジョニングされたアクティブ ID、スーパー ID を含む) のアクセス許可の検出 | ✓ | ✓ |
| 発見 | マルチクラウド環境 (Azure、AWS、GCP) とすべての ID に対するアクセス許可クリープ インデックス (PCI) | ✓ | ✓ |
| 発見 | Azure、AWS、GCP のすべての ID、グループのアクセス許可の検出 | ❌ | ✓ |
| 発見 | Azure、AWS、GCP でのアクセス許可の使用状況分析、ロール/ポリシーの割り当て | ❌ | ✓ |
| 発見 | ID プロバイダーのサポート (AWS IAM Identity Center、Okta、GSuite を含む) | ❌ | ✓ |
| 修復 | アクセス許可の自動削除 | ❌ | ✓ |
| 修復 | アクセス許可をアタッチまたはデタッチして ID を修復する | ❌ | ✓ |
| 修復 | ID、グループなどのアクティビティに基づくカスタム ロールおよび AWS ポリシーの生成 | ❌ | ✓ |
| 修復 | Microsoft Entra 管理センター、API、ServiceNow アプリを介した人間とワークロードの ID に対するオンデマンド アクセス許可 (期限付きアクセス)。 | ❌ | ✓ |
| モニター | Machine Learning による異常検出 | ❌ | ✓ |
| モニター | アクティビティ ベース、ルール ベースのアラート | ❌ | ✓ |
| モニター | コンテキストの豊富なフォレンジック レポート (PCI 履歴レポート、ユーザー エンタイトルメント、使用状況レポートなど) | ❌ | ✓ |
次のステップ
- Microsoft の CIEM ソリューションの詳細については、「Microsoft Entra Permissions Management」をご覧ください。
- Microsoft Entra Permissions Management の無料試用版を入手するには、「Microsoft Entra 管理センター」にアクセスしてください。