次の方法で共有

サポートと前提条件: DevOps のセキュリティ

この記事では、Microsoft Defender for Cloud の DevOps セキュリティ機能のサポート情報を要約しています。

DevOps セキュリティは DevOps 環境を可視化し、セキュリティ チームが Azure DevOps、GitHub、GitLab のリポジトリと CI/CD パイプライン全体で、誤った構成、公開されたシークレット、コードの脆弱性を検出するのに役立ちます。

クラウドとリージョンのサポート

DevOps のセキュリティは、次のリージョンの Azure 商用クラウドで利用できます:

  • アジア (東アジア)
  • オーストラリア (オーストラリア東部)
  • カナダ (カナダ中部)
  • ヨーロッパ (西ヨーロッパ、北ヨーロッパ、スウェーデン中部)
  • 英国 (英国南部)
  • 米国 (米国東部、米国中部)

DevOps プラットフォームのサポート

DevOps セキュリティでは現在、次の DevOps プラットフォームがサポートされています:

Defender for DevOps は現在、データ所在地で構成された GitHub Enterprise Cloud インスタンスをサポートしていません。

必要なアクセス許可

DevOps セキュリティには、次のアクセス許可が必要です:

特徴 権限
DevOps 環境を Defender for Cloud に接続する
  • Azure: サブスクリプション共同作成者またはセキュリティ管理者
  • Azure DevOps: ターゲット組織のプロジェクト コレクション管理者
  • GitHub 組織所有者
  • GitLab: ターゲット グループのグループ所有者
セキュリティの分析情報と結果を確認する セキュリティビューア
プルリクエスト注釈を構成する サブスクリプション共同作成者または所有者
Azure DevOps に Microsoft Security DevOps 拡張機能をインストールする Azure DevOps プロジェクト コレクション管理者
GitHub に Microsoft Security DevOps アクションをインストールする GitHub 書き込み

DevOps のセキュリティの分析情報と結果への読み取りアクセスのためにサブスクリプションに対して高い特権のアクセス許可を設定しないようにするには、リソース グループまたはコネクタ スコープに セキュリティ閲覧者 ロールを適用します。

使用可能な機能

DevOps のセキュリティ機能 (コードからクラウドへのコンテキスト化、セキュリティ エクスプローラー、攻撃パス分析、コードとしてのインフラストラクチャのセキュリティ結果のプル要求注釈など) は、有料の Defender Cloud Security Posture Management (Defender CSPM) プランを有効にすると利用できます。

次の表は、サポートされている DevOps プラットフォーム内の各機能の可用性と前提条件をまとめたものです:

Azure DevOps

特徴 基本的な CSPM ディフェンダー CSPM [前提条件]
Azure DevOps リポジトリを接続する イエス イエス Azure DevOps のオンボードの前提条件を確認する
Azure DevOps リソースのインベントリ イエス イエス Azure DevOps コネクタ
DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 イエス イエス Azure DevOps コネクタ
コードの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス エージェントレス スキャン用のエージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用の Microsoft Security DevOps 拡張機能、または CodeQL スキャン用の Azure DevOps 用 GitHub Advanced Security
コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 イエス イエス エージェントレス スキャン用のエージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用の Microsoft Security DevOps 拡張機能
公開されているシークレットを検出するためのセキュリティに関する推奨事項 イエス イエス Azure DevOps の GitHub Advanced Security
オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス Azure DevOps の GitHub Advanced Security
pull request の注釈 いいえ イエス pull request 注釈の前提条件を参照する
コンテナーのコードからクラウドへのマッピング いいえ イエス Microsoft Security DevOps 拡張機能
インフラストラクチャをコードとして扱う (IaC) テンプレートのクラウドへのマッピング いいえ イエス Microsoft Security DevOps 拡張機能
攻撃パス分析 いいえ イエス DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする
クラウド セキュリティ エクスプローラー いいえ イエス DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする

GitHub

特徴 基本的な CSPM ディフェンダー CSPM [前提条件]
GitHub リポジトリを接続する イエス イエス GitHub のオンボードの前提条件を参照してください
GitHub DevOps リソースのインベントリ イエス イエス GitHub コネクタ
DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 イエス イエス GitHub コネクタ
コードの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス エージェントレス コード スキャン (プレビュー)、パイプライン内スキャン用のMicrosoft Security DevOps アクション、または CodeQL スキャン用の GitHub Advanced Security
コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 イエス イエス エージェントレス コード スキャン (プレビュー)、またはパイプライン内スキャン用のMicrosoft Security DevOps アクション
公開されているシークレットを検出するためのセキュリティに関する推奨事項 イエス イエス GitHub Advanced Security
オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス GitHub Advanced Security
コンテナーのコードからクラウドへのマッピング いいえ イエス Microsoft Security DevOps アクション
攻撃パス分析 いいえ イエス DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする
クラウド セキュリティ エクスプローラー いいえ イエス DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする

GitLab

特徴 基本的な CSPM ディフェンダー CSPM [前提条件]
GitLab プロジェクトを接続する イエス イエス GitLab オンボードの前提条件を参照してください
コードの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス GitLab Ultimate
コードとしてのインフラストラクチャ (IaC) の構成ミスを修正するためのセキュリティに関する推奨事項 イエス イエス GitLab Ultimate
公開されているシークレットを検出するためのセキュリティに関する推奨事項 イエス イエス GitLab Ultimate
オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 イエス イエス GitLab Ultimate
クラウド セキュリティ エクスプローラー いいえ イエス DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする
  • Last updated on