クラウド セキュリティ態勢管理 (CSPM)

クラウド セキュリティの Microsoft Defender for Cloud の主な柱の 1 つは、クラウド セキュリティ態勢管理 (CSPM) です。 CSPM により、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが得られます。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。

Defender for Cloud では、セキュリティの問題について、リソース、サブスクリプション、組織の評価を継続的に行っています。 Defender for Cloud は、セキュリティ スコアでセキュリティ体制を示します。 セキュリティ スコアは、現在のセキュリティ状況を示すセキュリティ結果の集計スコアです。 スコアが高いほど、特定されたリスク レベルは低くなります。

可用性

側面 詳細
リリース状態: 基本的な CSPM 機能: GA
Defender クラウド セキュリティ態勢管理 (CSPM): プレビュー
前提条件 - 基本的な CSPM 機能: - なし

- Defender クラウド セキュリティ態勢管理 (CSPM) - エージェントレス スキャンでは、サブスクリプション所有者がプランを有効にする必要があります。 承認レベルが低いユーザーは、Defender CSPM プランを有効にできますが、アクセス許可が不足しているため、エージェントレス スキャナーは既定では有効になりません。 エージェントレス スキャナーが無効であるため、攻撃パスの分析とセキュリティ エクスプローラーに脆弱性情報が設定されません。
クラウド: 基本的な CSPM 機能
商用クラウド
各国 (Azure Government、Azure China 21Vianet)

Connected AWS アカウントと GCP プロジェクトの可用性については、使用可能な機能の表を参照してください。

Defender クラウド セキュリティ態勢管理 (CSPM)
商用クラウド
各国 (Azure Government、Azure China 21Vianet)

Connected AWS アカウントと GCP プロジェクトの可用性については、使用可能な機能の表を参照してください。

Defender CSPM プランのオプション

Defender CSPM プランには、基本的な CSPM 機能と Defender CSPM の 2 つのオプションが用意されています。 Defender for Cloud をサブスクリプションとリソースにデプロイすると、CSPM プランによって提供される基本的なカバレッジが自動的に得られます。 Defender CSPM によって提供される他の機能にアクセスするには、サブスクリプションとリソースに対して Defender クラウド セキュリティ態勢管理 (CSPM) プランを有効にする必要があります。

次の表は、各プランに含まれる内容とそれらのクラウドの可用性をまとめたものです。

機能 基本的な CSPM 機能 Defender CSPM クラウドでの利用可否
クラウド リソースのセキュリティ構成の継続的な評価 Azure、AWS、GCP、オンプレミス
構成の誤りと弱点を修正するためのセキュリティに関するレコメンデーション Azure、AWS、GCP、オンプレミス
セキュリティ スコア Azure、AWS、GCP、オンプレミス
ガバナンス - Azure、AWS、GCP、オンプレミス
規制コンプライアンス - Azure、AWS、GCP、オンプレミス
クラウド セキュリティ エクスプローラー - Azure、AWS
攻撃パス分析 - Azure、AWS
マシンのエージェントレス スキャン - Azure、AWS

Note

Defender for DevOps を有効にしている場合、クラウド セキュリティ グラフと攻撃パス分析は、それらのコネクタを介して到着した成果物に対してのみ取得されます。

Governance for DevOps 関連のレコメンデーションを有効にするには、DevOps コネクタをホストする Azure サブスクリプションで、Defender CSPM プランを有効にする必要があります。

セキュリティ ガバナンスと規制コンプライアンス

セキュリティ ガバナンスと規制コンプライアンスとは、特定の管轄区域での活動を制御する外部機関 (政府) によって定められた法律、規則、規制に確実に準拠するために組織で配備されたポリシーとプロセスを指します。 Defender for Cloud では、規制コンプライアンス ダッシュボードで規制コンプライアンスを表示できます。

Defender for Cloud では、ハイブリッド クラウド環境を継続的に評価して、サブスクリプションに適用されている標準の制御とベスト プラクティスに従ってリスク要因を分析します。 ダッシュボードには、これらの標準へのコンプライアンスの状態が反映されます。

Defender for Cloud のセキュリティと規制コンプライアンスの詳細については、こちらをご覧ください。

クラウド セキュリティ エクスプローラー

クラウド セキュリティ グラフは、Defender for Cloud 内に存在するグラフベースのコンテキスト エンジンです。 クラウド セキュリティ グラフは、マルチクラウド環境やその他のデータ ソースからデータを収集します。 たとえば、クラウド資産のインベントリ、リソース間の接続と横移動の可能性、インターネットへの露出、アクセス許可、ネットワーク接続、脆弱性などです。 収集されたデータは、マルチクラウド環境を表すグラフを作成するために使用されます。

次に、Defender for Cloud は生成されたグラフを使用して攻撃パス分析を実行し、環境内に存在するリスクが最も高い問題を見つけます。 クラウド セキュリティ エクスプローラーを使用してグラフのクエリを実行することもできます。

クラウド セキュリティ エクスプローラーの詳細をご覧ください

攻撃パス分析

攻撃パス解析は、クラウド セキュリティ グラフをスキャンするグラフベースのアルゴリズムです。 スキャンでは以下が実行されます。

  • 攻撃者が環境を侵害して影響の大きい資産に到達するために使用する可能性のある悪用可能なパスが公開されます
  • 侵害を未然に防ぐための推奨事項が提供されます

環境のコンテキスト情報を考慮すると、攻撃パス分析によって環境の侵害につながる可能性のある問題が特定されるため、リスクが最も高いものから修復することができます。 たとえば、インターネットへの露出、アクセス許可、横移動などです。

攻撃パス分析の詳細については、こちらをご覧ください。

マシンのエージェントレス スキャン

VM のエージェントレス スキャンを使用すると、インストールされているエージェント、ネットワーク接続、またはマシンのパフォーマンスに影響を与えることなく、実行可能な OS ポスチャの問題を可視化できます。

エージェントレス スキャンの詳細については、こちらをご覧ください。

次の手順

Microsoft Defender for Cloud の基本セキュリティ機能と強化されたセキュリティ機能の詳細について説明します