Microsoft Defender XDR セキュリティ サービスを使用して防御の第 2 層をビルドする

組織では、Azure とオンプレミスの両方でリソースを稼働させるハイブリッド環境を利用することが一般的です。 仮想マシン（VM）、Azure アプリケーション、Microsoft Entra ID など、ほとんどの Azure リソースは、Azureで動作するセキュリティサービスによって保護することが可能です。

また、多くの組織では、Word、Excel、PowerPoint、Exchangeなどのアプリケーションをオンラインで提供する Microsoft 365 にサブスクライブします。 Microsoft 365 はセキュリティサービスも提供しており、これを利用することで、最も利用されている Azure リソースのいくつかに追加のセキュリティレイヤーをビルドすることができます。

Microsoft 365 のセキュリティサービスの利用を検討するためには、いくつかの用語を知り、Microsoft 365 のサービスの構造を理解することが有効です。 5回シリーズの第4回目のは、その理解に役立つ記事です。 この記事は、以前の記事で取り上げられたトピックを基に書かれています。特に次のとおりです。

• IT 環境に脅威をマップする
• Azure セキュリティサービスで防御の第一層をビルドします

Microsoft 365 と Office 365 は、堅牢なセキュリティ、信頼性、ユーザーの生産性といった組織のニーズに対応するために設計されたクラウドベースのサービスです。 Microsoft 365 には、Power Automate、Forms、Stream、Sway、Office 365 などのサービスが含まれています。 Office 365 は、よく知られた生産性アプリケーションのスイートを含んでいます。 この2つのサービスのサブスクリプションオプションの詳細については、「Microsoft 365 と Office 365 のプランオプション」を参照してください。

Microsoft 365 の取得ライセンスによっては、Microsoft 365 のセキュリティサービスも利用できます。 これらのセキュリティ サービスは、Microsoft Defender XDR と呼ばれ、複数のサービスを提供しています。

• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender for Cloud Apps

次の図は、Microsoft 365 が提供するソリューションと主なサービスの関係を示したものですが、すべてのサービスが掲載されているわけではありません。

考えられるユース ケース

Microsoft 365 のセキュリティサービスと、IT サイバーセキュリティにおけるその役割について、人々は混乱することがあります。 主な原因は、Microsoft Defender for Cloud（旧称：Azure Security Center）や Defender for Cloud Apps（旧称：Microsoft Cloud Application Security）など、Azure で実行する一部のセキュリティサービスは、似たような名称があることです。

しかし、混乱は用語の問題だけではありません。 Defender for Identity や Azure Identity Protection のように、異なるリソースに対して同様の保護を提供するサービスもあります。 両サービスとも ID サービスの保護を提供しますが、Defender for Identity はオンプレミス（Kerberos 認証に基づく Active Directory Domain Services 経由）の ID を保護し、Azure Identity Protection はクラウド（OAuth 認証に基づく Microsoft Entra ID 経由）の ID を保護します。

これらの例から、Microsoft 365 のセキュリティサービスの仕組みと Azure のセキュリティサービスとの違いを理解すれば、Microsoft のクラウドにおけるセキュリティ戦略を効果的に計画でき、なおかつ IT 環境に優れたセキュリティ体制を提供できることがわかります。 それがこの記事の目的です。

次の図は、Microsoft Defender XDR セキュリティ サービスの利用を検討する場合の実際のユース ケースを示したものです。 この図は、保護する必要のあるリソースを示しています。 環境内で実行されるサービスが上部に表示されます。 いくつかの潜在的な脅威が下部に表示されます。 Microsoft Defender XDR のサービスはその中間に位置し、組織のリソースを潜在的な脅威から守ります。

Architecture

次の図は、Microsoft Defender XDR セキュリティ サービスを表す DEFENDER とラベル付けされたレイヤーを示しています。 これらのサービスを IT 環境に追加することで、より良い環境の防御をビルドすることができます。 Defender レイヤーのサービスは、Azure セキュリティサービスと連携できます。

このアーキテクチャの Visio ファイルをダウンロードします。

©2021 The MITRE Corporation。 この作品は、The MITRE Corporation の許可を得て、複製と配布をしています。

ワークフロー

1. Microsoft Defender for Endpoint

   Defender for Endpoint は、企業内のエンドポイントを保護し、ネットワークが高度な脅威を防止、検出、調査、対応することを支援するように設計されています。 Azure とオンプレミスで実行される VM の保護レイヤーを作成します。 保護できる内容については、Microsoft Defender for Endpointを参照してください。

2. Microsoft Defender for Cloud Apps

   Defender for Cloud Apps は、以前はMicrosoft Cloud Application Security として知られていた、複数の展開モードをサポートするクラウドアクセスセキュリティブローカー（CASB）です。 そのモードには、ログ収集、API コネクター、リバースプロキシーなどがあります。 お使いの Microsoft およびサード パーティ製クラウド サービス全体にわたるサイバー攻撃の脅威を特定し、対処するために、豊富な表示機能、データ送受信の制御、高度な分析を備えています。 クラウドアプリはもちろん、オンプレミスで実行される一部のアプリに対しても、保護とリスク軽減の機能を提供します。 また、それらのアプリにアクセスするユーザーにも保護レイヤーを提供します。 詳細については、「Microsoft Defender for Cloud Apps の概要」を参照してください。

   Defender for Cloud Apps は、Azure、オンプレミス、その他のクラウドで実行されるサーバー、アプリ、ストレージアカウント、その他のリソースのセキュリティ体制についてレコメンデーションとスコアを提供する Microsoft Defender for Cloud と混同しないことが重要です。 Defender for Cloud は、従来の2つのサービス、Azure Security Center と Azure Defender を統合したものです。

3. Microsoft Defender for Office 365

   Defender for Office 365 は、メールメッセージ、リンク（URL）、コラボレーションツールによってもたらされる悪意のある脅威から組織を保護します。 メールやコラボレーションを保護します。 ライセンスによっては、侵害後の調査、追跡、対応、自動化、シミュレーション（トレーニング用）などを追加することができます。 ライセンスオプションの詳細については、「Microsoft Defender for Office 365 セキュリティの概要」を参照してください。

4. Microsoft Defender for Identity

   Defender for Identity は、オンプレミスの Active Directory のシグナルを利用して、組織に向けられた高度な脅威、漏洩したID、悪意のあるインサイダーによるアクションを識別、検知、調査するクラウドベースのセキュリティソリューションです。 オンプレミスで実行される Active Directory Domain Services （AD DS）を保護します。 このサービスはクラウド上で実行されますが、オンプレミスで ID を保護するために機能します。 Defender for Identity は、以前は Azure Advanced Threat Protection という名称でした。 詳細については、「Microsoft Defender for Identity とは」を参照してください。

   Microsoft Entra ID によって提供され、クラウドでネイティブに実行される ID の保護が必要な場合は、Microsoft Entra ID Protection を検討してください。

5. Microsoft Endpoint Manager

   Endpoint Manager は、クラウドサービス、オンプレミスサービス、Android、Android Enterprise、iOS、iPadOS、macOS、Windows 10、Windows 11 のデバイスの機能や設定を制御できる Microsoft Intune 向けのサービスを提供します。 次のような他のサービスと統合されます。

   • Microsoft Entra ID。
   • モバイル脅威の防御者。
   • 管理（ADMX）テンプレート。
   • Win32 アプリ。
   • カスタムの基幹業務アプリ。

   Endpoint Manager に含まれるようになったもう一つのサービスは、オンプレミスの管理ソリューションである Configuration Manager で、ネットワーク上にあり、直接またはインターネット経由で接続されているクライアントとサーバーのコンピュータを管理することができます。 クラウド機能を有効にして、Configuration Manager と Intune、Microsoft Entra ID、Defender for Endpoint、その他のクラウドサービスを統合することができます。 これを使用して、アプリ、ソフトウェアアップデート、オペレーティングシステムを展開します。 また、コンプライアンスの監視、オブジェクトのクエリ、リアルタイムでのクライアントの操作などを行うことができます。 利用可能なすべてのサービスについては、「Microsoft Endpoint Manager の概要」を参照してください。

脅威の例の攻撃順序

図に示されている脅威は、一般的な攻撃順序に従います。

1. 攻撃者は、マルウェアが添付されたフィッシングメールを送信します。

2. エンドユーザーが添付されたマルウェアを開きます。

3. マルウェアは、ユーザーが気付かないうちにバックエンドにインストールされます。

4. インストールされたマルウェアは、一部のユーザーの資格情報を盗みます。

5. 攻撃者は資格情報を使用して、機密性の高いアカウントにアクセスします。

6. もし、資格情報が、昇格した特権を持つアカウントへのアクセスを提供するならば、攻撃者は、さらに多くのシステムを危険にさらします。

また、この図の DEFENDER とラベル付けされたレイヤーには、どの Microsoft Defender XDR サービスがこれらの攻撃を監視し、軽減することができるかが示されています。 これは、Defender が Azure セキュリティサービスと連携して、図に示すようなリソースの追加保護を提供するセキュリティのレイヤーを提供する方法の例です。 潜在的な攻撃がどのように IT 環境を脅かすかについては、このシリーズの2番目の記事「脅威を IT 環境にマッピングする」を参照してください。 Microsoft Defender XDR の詳細については、「Microsoft Defender XDR」を参照してください。

Microsoft Defender XDR セキュリティ サービスへのアクセスと管理

現在、Microsoft Defender XDR のサービスを管理するために、複数のポータルを使用する必要がある場合があります。 ただし、Microsoft は機能を可能な限り一元化するように取り組んでいます。 次の図は、現在使用可能なポータルとそれらの相互関係を示しています。

Security.microsoft.com は、Microsoft Defender for Office 365 (1) と Defender for Endpoint (2) の機能が集約されており、現在最も重要なポータルです。 ただし、2022 年 3 月の時点でも、Office 365 に関するセキュリティ機能のために protection.office.com にアクセスできます (3)。 Defender for Endpoint の場合、古いポータル securitycenter.windows.com にアクセスしようとすると、新しいポータル security.microsoft.com (7) にリダイレクトされます。

portal.cloudappsecurity.com の主な用途は、(4) Defender for Cloud Apps を管理することです。 クラウドアプリとオンプレミスで実行される一部のアプリを管理し、許可されていないアプリ（シャドー IT）を管理し、Identity Protection からのユーザーシグナルを確認できます。 このポータルを使用して、(5) オンプレミスの ID 保護の多くの信号と機能を管理することもできます。これにより、(6) portal.atp.azure.com の多くの機能を Defender for Cloud Apps のポータルに統合できます。 ただし、必要に応じて (6) portal.atp.azure.com にアクセスできます。

最後に、 endpoint.microsoft.com は主に Intune と Configuration Manager に機能を提供しますが、Endpoint Manager の一部である他のサービスにも機能を提供します。 security.microsoft.com と endpoint.microsoft.com はエンドポイントにセキュリティ保護を提供するため、エンドポイントに優れたセキュリティ体制を提供するために、それらの間で多くの対話が行われます (9)。

コンポーネント

このアーティクルのアーキテクチャ例では、次の Azure コンポーネントを使用します:

• Microsoft Entra ID はクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID は、Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにユーザーがアクセスするのに役立ちます。 また、企業のイントラネット ネットワーク上のアプリなど、内部リソースにアクセスするのにも役立ちます。

• Microsoft Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、さまざまな種類の Azure リソースが互いに、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 Virtual Networkは、スケール、可用性、分離など、Azure のインフラストラクチャからベネフィットを得られる仮想ネットワークを提供します。

• Azure Load Balancer は、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待機時間のレイヤー 4 負荷分散サービス (受信および送信) です。 これは、ソリューションの高可用性を確保しながら、1 秒あたり数百万の要求を処理するように構築されています。 Azure Load Balancer は、ゾーン冗長であるため、Availability Zones 全体で高可用性を確保します。

• 仮想マシン は、Azure が提供するオンデマンドでスケーラブルなコンピューティング リソースの 1 つです。 Azure Virtual Machine (VM) では、VM を実行する物理的なハードウェアを購入して維持する必要がなく、仮想化がもたらす柔軟性が提供されます。

• Azure Kubernetes サービス (AKS) は、コンテナー化されたアプリをデプロイおよび管理するためのフル マネージド Kubernetes サービスです。 AKSは、サーバーレス Kubernetes、継続的インテグレーション/継続的デリバリー（CI/CD）、エンタープライズグレードのセキュリティとガバナンスを提供します。

• Azure Virtual Desktop は、リモート ユーザーにデスクトップを提供するためにクラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。

• Web Apps は、Web アプリ、REST API、モバイル バックエンドをホストするための HTTP ベースのサービスです。 お気に入りの言語で開発でき、アプリケーションは Windows ベースと Linux ベースの両方の環境で簡単に実行およびスケーリングできます。

• Azure Storage は、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブルストレージなど、クラウド上の様々なデータオブジェクトに対する高可用性、大規模なスケーラブル、耐久性、安全性を備えたストレージです。 Azure Storage アカウントに書き込まれたすべてのデータがサービスによって暗号化されます。 Azure Storage では、データにアクセスできるユーザーをきめ細かく制御できます。

• Azure SQL データベース は、アップグレード、パッチ適用、バックアップ、監視などのほとんどのデータベース管理機能を処理するフルマネージド PaaS データベース エンジンです。 これらの機能をユーザーの手を煩わせることなく提供します。 SQL Database には、アプリがセキュリティやコンプライアンス要件を満たすために役立つ、さまざまなセキュリティおよびコンプライアンス機能が組み込まれています。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Rudnei Oliveira｜シニアカスタマーエンジニア

その他の共同作成者:

• Gary Moore | プログラマー/ライター
• Andrew Nathan｜シニアカスタマーエンジニアリングマネージャー

次の手順

• Microsoft 365 を使用して脅威から防御する
• Microsoft Defender XDR でサイバー攻撃を検出して対応する
• Microsoft Defender XDR の概要
• Microsoft 365 で脅威インテリジェンスを実装する
• Microsoft 365 を使用したセキュリティの管理
• Microsoft Defender for Office 365で悪意のある脅威から保護する
• オンプレミスの ID を Microsoft Defender for Cloud for Identity で保護する

関連リソース

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。

• Part 1: Azure の監視を利用してセキュリティコンポーネントを統合する
• パート 2: IT 環境に脅威をマップする
• パート 3: Azure Security サービスを使用して防御の第 1 層をビルドする
• パート 5: Azure と Microsoft Defender XDR セキュリティ サービスの統合