次の方法で共有

クラウド インフラストラクチャエンタイトルメント管理 (CIEM)

2025 年 4 月 1 日より、Microsoft Entra Permissions Management は購入できなくなります。

2025 年 10 月 1 日に、Microsoft はこの製品のサポートを終了し、中止します。 Microsoft Entra Permissions Management の廃止について詳しくは、こちらをご覧ください。

Microsoft Entra Permissions Management の廃止は、Microsoft Defender for Cloud の既存の CIEM 機能には影響しません。 Microsoft Defender for Cloud での CIEM の将来の詳細について説明します。

Microsoft Defender for Cloud には、Defender Cloud Security Posture Management (CSPM) プラン内のネイティブ クラウド インフラストラクチャエンタイトルメント管理 (CIEM) 機能が含まれており、組織がマルチクラウド環境全体の ID とアクセスのリスクを検出、評価、管理するのに役立ちます。 これらの機能は、最小限の特権 (PoLP) の原則を適用し、攻撃対象領域を減らし、Azure、AWS、および GCP 全体で人間とワークロードベースの ID の誤用を防ぐことによって、インフラストラクチャをセキュリティで保護するように設計されています。

Defender for Cloud がアクセス許可を分析する方法

Defender for Cloud は、ID の構成と使用パターンを継続的に分析して、過剰なアクセス許可、未使用のアクセス許可、または正しく構成されていないアクセス許可を特定します。 ユーザー、サービス プリンシパル、グループ、マネージド ID、サービス アカウントなど、人間とアプリケーションの ID を評価し、特権の悪用のリスクを軽減するための推奨事項を提供します。

Defender for Cloud サポートの CIEM 機能:

  • Microsoft Entra ID のユーザー、グループ、およびサービス プリンシパル

  • AWS IAM ユーザー、ロール、グループ、サーバーレス関数、コンピューティングリソース

  • Google Cloud IAM ユーザー、グループ、サービス アカウント、サーバーレス関数

主要な機能

マルチクラウド ID 検出

Azure、AWS、GCP 全体のアクセス許可を 1 つの統合ビューで追跡および分析します。 クラウド リソースにアクセスできるユーザー、グループ、サービス プリンシパル、または AWS ロールと、それらのアクセス許可の使用方法を特定します。

有効なアクセス許可の分析

アクセス権を持っているのが誰かだけでなく、彼らがアクセスできるものの潜在的なリスクを理解します。 Defender for Cloud は、有効なアクセス許可を評価して、機密性の高いリソースまたはビジネス クリティカルなリソースに到達できる ID を識別します。 Cloud Security Explorer を使用して、特定の ID または重要なリソース (機密データを含む、インターネットに公開されているリソースなど) を検索し、アクセス権を持つユーザー、アクセス権のレベル、そのアクセスがどのように悪用されるかを判断します。

ID リスクの分析情報

推奨事項を使用してプロアクティブなガイダンスを受け取ることで、ID 関連のリスクを軽減します。 Defender for Cloud では、次のような推奨事項が表示されます。

  • アクセス権を持つ非アクティブなアカウント、ゲスト アカウント、またはブロックされたアカウントの削除

  • 定義済みの一連のユーザーに対する管理特権の制限

  • 実際の使用状況に基づいてオーバープロビジョニングされた識別子に対する最適なサイズ調整の権限

  • IAM ユーザーに対する MFA と強力なパスワード ポリシーの適用

  • その他の関連する例を追加する

横移動検出

Defender for Cloud は、ID リスクを攻撃パス分析と関連付け、過剰な ID または構成ミスから発生する横移動の機会を示します。 たとえば、攻撃者は、侵害されたリソースから機密性の高いデータベースに横方向に移動する過剰な権限を持つサービス プリンシパルを侵害する可能性があります。 このコンテキストにより、セキュリティ チームは、気付かない可能性がある影響の大きい ID の問題に優先順位を付けられます。

ID とアクセス許可のリスクを表示する方法

Defender for Cloud には、アクセス リスクを監視して対処するためのいくつかの方法が用意されています。

  • Cloud Security Explorer: セキュリティ エクスプローラーを使用すると、リソースにアクセスして環境内のすべての ID に対してクエリを実行できます。 これらのクエリを使用すると、ID がアクセス許可を持つリソースのコンテキスト情報を使用して、すべてのクラウドエンタイトルメントの完全なマッピングを取得できます。

  • 攻撃パス分析: [攻撃パス分析] ページでは、攻撃者が特定のリソースに到達するために実行できる攻撃パスを表示できます。 攻撃パス分析を使用すると、攻撃パスを視覚的に表示し、インターネットに公開されているリソースを確認できます。 インターネットへの露出は、多くの場合、特にリソースに脆弱性がある場合に、攻撃パスのエントリ ポイントとして機能します。 インターネットで公開されるリソースは、多くの場合、機密データを含んだターゲットにつながります。

  • 推奨事項: Defender for Cloud では、さまざまな CIEM 構成の誤りについてリスクベースの推奨事項が提供されます。 組み込みの推奨事項では、非アクティブな ID、過剰にプロビジョニングされたアクセス許可、セキュリティで保護されていない ID 設定を修復するためのガイダンスが提供されます。

  • CIEM ブック: CIEM ブックには、クラウド ID のセキュリティ体制のカスタマイズ可能なビジュアル レポートが用意されています。 このワークブックを使用すると、アイデンティティ、不適切な推奨事項、攻撃パスに関する情報を確認できます。

関連コンテンツ

Microsoft Defender for Cloud で CIEM を有効にする 方法について説明します。