セキュリティ スコア

  • [アーティクル]

Microsoft Defender for Cloud のセキュリティ スコアは、クラウドのセキュリティ態勢を評価して改善するのに役立ちます。 セキュリティ スコアでは、すべての結果が 1 つのスコアに集約されるため、現在のセキュリティの状況を簡単に把握できます。 スコアが高いほど、特定されたリスク レベルは低くなります。

サブスクリプションで Defender for Cloud を有効にすると、既定で Microsoft クラウド セキュリティ ベンチマーク (MCSB) 標準がサブスクリプションで適用されます。 MCSB 標準に照らしてスコープ内のリソースの評価が開始されます。

推奨事項は、評価結果に基づいて発行されます。 セキュリティ スコアに影響するのは、MSCB の組み込みの推奨事項のみです。

Note

プレビューのフラグが設定されている推奨事項は、セキュリティ スコアの計算からは除外されます。 それでも、その推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。 プレビューの推奨事項には、次のマークが付けられています。

Note

現時点では、リスクの優先順位付けは、セキュリティ スコアには影響しません。

セキュリティ スコアの表示

Defender for Cloud の [概要] ダッシュボードを表示すると、すべての環境のセキュリティ スコアを確認できます。 セキュリティ スコアはパーセンテージ値として表示され、基になる値も示されます。

Screenshot that shows the overall secure score as shown in the portal.

Azure mobile app では、セキュリティ スコアはパーセンテージ値として表示されます。 タップすると、スコアを説明する詳細が表示されます。

Screenshot that shows the overall secure score as shown in the Azure mobile app.

セキュリティ態勢を調べる

Defender for Cloud の [セキュリティ態勢] ページでは、すべての環境の合計と、環境ごとのセキュリティ スコアを個別に確認できます。

Screenshot of the security posture page.

  • 全体スコアに影響を与えているサブスクリプション、アカウント、プロジェクト、異常なリソースに関する情報、関連する推奨事項を確認できます。
  • 環境 (Azure、AWS、GCP、Azure DevOps) でフィルター処理し、各 Azure サブスクリプション、AWS アカウント、および GCP プロジェクトにドリルダウンできます。

Screenshot of the bottom half of the security posture page.

セキュリティ スコアの計算方法

Defender for Cloud の [推奨設定] ページ >[セキュリティ スコアの推奨事項] タブで、MCSB 内のコンプライアンス制御が全体的なセキュリティ スコアにどのように貢献しているかを確認できます。

Screenshot that shows security controls that impact your secure score.

各コントロールは、各 Azure サブスクリプションまたは AWS/GCP クラウド コネクタごとに 8 時間ごとに計算されます。

重要

コントロール内の推奨事項はコントロールよりも頻繁に更新されるため、リソースの数と、コントロールで見つかった推奨事項の間に不一致が生じる可能性があります。

コントロールのスコアの例

Screenshot showing how to apply system updates security control.

この例では、

フィールド 詳細
脆弱性の修復 このコントロールは、既知の脆弱性の検出と解決に関連する複数のレコメンデーションをグループ化します。
最大スコア コントロール内のすべてのレコメンデーションを完了することによって得られるポイントの最大数です。

コントロールの最大スコアは、そのコントロールの相対的な有意性を示し、各環境で固定されます。

最大スコア値を使用して問題をトリアージし、最初に対処すべき問題を決定します。
現在のスコア このコントロールの現在のスコアです。

現在のスコア = [リソースあたりのスコア] * [正常なリソースの数]

合計スコアは、各コントロールを基にしています。 この例のコントロールは、現在の合計セキュリティ スコアに 2.00 ポイント貢献しています。
潜在的なスコアの増加 コントロール内で取得できる残りのポイント。 このコントロールのすべての推奨事項を修復すると、スコアが 9% 増加します。

潜在スコア増加 = [リソースあたりのスコア] * [異常なリソースの数]
分析情報 各推奨事項に関する次のような追加情報を提供します。

- プレビューの推奨事項 - この推奨事項は、GA になるまではセキュア スコアには影響を与えません。

- 修正 - [推奨事項の詳細] ページ内から、この問題を解決するために '修正' を使用できます。

- 強制 - [推奨事項の詳細] ページ内から、他のユーザーが準拠していないリソースを作成したときに、ポリシーを自動的にデプロイしてこの問題を修正することができます。

- 拒否 - [推奨事項の詳細] ページ内から、この問題によって新しいリソースが作成されるのを止めることができます。

スコアの計算について

スコアの計算方法を以下に示します。

セキュリティ コントロールの現在のスコア

Screenshot showing the equation for calculating a security control score.

  • セキュリティ スコアは、個々のセキュリティ コントロールを基にしています。

  • コントロールの現在のスコアは、コントロール内の推奨事項によって影響を受ける各リソースを基にしています。 セキュリティ スコアには、プレビューの推奨事項で見つかったリソースは含まれません。

  • 各コントロールの現在のスコアは、コントロールでリソースの状態を測定したものです。

    Screenshot of tooltips showing the values used when calculating the security control's current score.

    この例では、最大スコア 6 は、正常なリソースと異常なリソースの合計値である 78 で割ることになります。したがって、6 / 78 = 0.0769 となります。
    これを正常なリソースの数 (4) で乗算すると、次に示す現在のスコアになります。0.0769 * 4 = 0.31

セキュリティ スコア - 単一サブスクリプション、またはコネクタ

Screenshot of equation for calculating a subscription's secure score.

Screenshot of single subscription secure score with all controls enabled.

この例では、すべてのセキュリティ コントロールを適用可能な 1 つのサブスクリプションまたはコネクタがあります (潜在的な最大スコアは 60 ポイントです)。

スコアには取得可能な 60 ポイントのうち 28 ポイントが示され、残りの 32 ポイントは、セキュリティ コントロールの "潜在的な増加スコア" の数値に反映されます。

Screenshot showing a list of controls and the potential score increase.

この式は、サブスクリプションという言葉をコネクタに置き換えるだけで、コネクタに対しても同じ式です。

セキュリティ スコア - 複数のサブスクリプションとコネクタ

Screenshot showing equation for calculating the secure score for multiple subscriptions.

  • 複数のサブスクリプションとコネクタに対する合計スコアには、各サブスクリプションとコネクタに対する "重み" が含まれています。

  • Defender for Cloud では、サブスクリプションとコネクタの相対的な重みは、リソースの数などの要素に基づいて決定されます。

  • 各サブスクリプションとコネクタの現在のスコアは、1 つのサブスクリプションまたはコネクタの場合と同じ方法で計算されますが、式に示されているように重みが適用されます。

  • 複数のサブスクリプションとコネクタを表示するときに、セキュリティ スコアは、すべての有効なポリシー内のすべてのリソースを評価し、それらをグループ化して、各セキュリティ コントロールの最大スコアに対するその組み合わせの影響を示します。

    Screenshot showing secure score for multiple subscriptions with all controls enabled.

    結合されたスコアは平均ではありません。これは、すべてのサブスクリプションとコネクタのすべてのリソースの状態の体制を評価したものです。

    [推奨設定] ページにアクセスして、潜在的なポイントを合計すると、現在のスコア (22) と潜在的な最大スコア (58) の差であることが分かります。

セキュリティ スコアを向上させる

MCSB は一連のコンプライアンス コントロールで構成されています。各コントロールは、関連するセキュリティの推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。

組織が個々の攻撃面をどの程度セキュリティで保護できているかを確認するには、各セキュリティ コントロールのスコアを確認します。 以下の点に注意してください。

  • 推奨事項を "すべて" 修復した場合にのみ、スコアが向上します。
  • セキュリティ コントロールで取得可能なポイントをすべて取得するには、すべてのリソースがセキュリティ コントロール内のすべてのセキュリティの推奨事項に準拠している必要があります。
  • たとえば、Defender for Cloud には、管理ポートをセキュリティで保護する方法に関する複数の推奨事項があります。 セキュリティ スコアを改善するには、これらをすべて修復する必要があります。

セキュア スコアを改善するには、次のようにします。

  • 推奨事項リストのセキュリティの推奨事項を修復します。 各推奨事項は、リソースごとに手動で修復する、または [修正] オプション (利用可能な場合) を使用して、複数のリソースの問題を迅速に解決することもできます。
  • 推奨事項を強制または拒否してスコアを向上させたり、ユーザーがスコアに悪影響を与えるリソースを作成しないようにしたりすることもできます。

セキュリティ スコアのコントロール

次の表に、Microsoft Defender for Cloud のセキュリティコントロールを示します。 コントロールごとに、"すべて" のリソースにおいて、コントロールに示されている "すべて" の推奨事項を修復した場合に取得できるセキュリティ スコアのポイントの最大数が表示されます。

セキュリティ スコア セキュリティ コントロール
10 MFA を有効にする - Defender for Cloud では、多要素認証 (MFA) に高い値が設定されます。 これらの推奨事項を使用して、サブスクリプションのユーザーをセキュリティで保護します。

MFA を有効にし、推奨事項に準拠するには、セキュリティの既定値、ユーザーごとの割り当て、条件付きアクセス ポリシーの 3 つの方法があります。 詳細情報
8 管理ポートのセキュリティ保護 - ブルートフォース攻撃では、管理ポートがしばしば標的になります。 これらの推奨事項と、Just-In-Time VM アクセスネットワーク セキュリティ グループなどのツールを使用して露出を減らします。
6 システムの更新プログラムの適用 - 更新プログラムを適用しないと、修正プログラムが脆弱性に適用されないままになるため、環境は攻撃を受けやすくなります。 これらの推奨事項を使用して、運用効率を維持し、セキュリティ脆弱性を軽減し、より安定した環境をエンド ユーザーに提供することができます。 システムの更新プログラムを展開するには、Update Management ソリューションを使用してマシンの修正プログラムと更新プログラムを管理します。
4 セキュリティ構成の修復 - 正しく構成されていない IT 資産は、攻撃の対象となる危険性が高くなります。 これらの推奨事項を使用して、インフラストラクチャ全体で識別された構成ミスを修正します。
4 アクセスおよびアクセス許可の管理 - セキュリティ プログラムの中核となるのは、ユーザーが自分のジョブを実行するために必要なアクセス権のみを持つこと、つまり、最小特権のアクセス モデルです。 これらの推奨事項を使用して、ID とアクセスの要件を管理します。
4 保存時の暗号化の有効化 - これらの推奨事項を使用して、格納されているデータの保護に関する構成ミスを減らします。
4 転送中のデータの暗号化 - これらの推奨事項を使って、コンポーネント、拠点、またはプログラム間を移動するデータをセキュリティで保護します。 そのようなデータは、中間者攻撃、盗聴、セッション ハイジャックの影響を受けやすいものです。
4 承認されていないネットワーク アクセスの制限 - Azure には、ネットワーク全体のアクセスが最高のセキュリティ標準を満たすように設計された一連のツールが用意されています。

これらの推奨事項を使用して、Defender for Cloud のアダプティブ ネットワーク セキュリティ強化を管理したり、関連するすべての PaaS サービスに対して Azure Private Link が構成済みであることを確認したり、仮想ネットワークで Azure Firewall を有効にしたりなどすることができます。
3 適応型アプリケーション制御の適用 - 適応型アプリケーション制御は、どのアプリケーションをマシンで実行できるかを制御するための、インテリジェントで、自動化された、エンドツーエンドのソリューションです。 また、これは、マルウェアに対してマシンを強化するためにも役立ちます。
2 DDoS 攻撃からのアプリケーションの保護 - Azure の高度なネットワーク セキュリティ ソリューションには、Azure DDoS Protection、Azure Web Application Firewall、Kubernetes 用の Azure Policy アドオンが含まれます。 これらの推奨事項を使用して、アプリケーションがこれらのツールやその他の手段によって保護されていることを確認します。
2 エンドポイント保護を有効にする - Defender for Cloud では組織のエンドポイントを検査し、アクティブな脅威検出および対応ソリューションがないか調べます。たとえば、こちらの一覧で示されている Microsoft Defender for Endpoint やその他の主要なソリューションです。

エンドポイントでの検出と対応 (EDR) ソリューションが有効になっていない場合は、これらの推奨事項を使用して Microsoft Defender for Endpoint をデプロイしてください。 Defender for Endpoint は、Defender for Servers プランに含まれています。

このコントロールの他の推奨事項は、エージェントをデプロイし、ファイル整合性の監視を構成するのに役立ちます。
1 監査とログの有効化 - 詳細ログは、インシデント調査とその他の多くのトラブルシューティング操作の重要な部分です。 このコントロールの推奨事項は、必要な場面で診断ログが有効にされていたかどうかを確認することに焦点を当てています。
0 強化されたセキュリティ機能を有効にする - これらの推奨事項を使用して、任意の Defender for Cloud プランを有効にします。
0 セキュリティのベスト プラクティスの実装 - このコントロールは、お客様のセキュリティ スコアに影響しません。 この推奨事項のコレクションは組織のセキュリティにとって重要ですが、全体的なスコアを評価するためには使用しないでください。

次のステップ

セキュリティ スコアを追跡する