Microsoft Defender for Cloud のセキュリティ体制
セキュリティ スコアの概要
Microsoft Defender for Cloud には、主に次の 2 つの目標があります。
- 現在のセキュリティ状況を把握すること
- セキュリティを効率的かつ効果的に向上させること
これらの目標を達成できるようにする Defender for Cloud の中心となる機能が、セキュリティ スコアです。
Defender for Cloud では、セキュリティの問題について、クラウド間のリソースを継続的に評価します。 その後、すべての結果を 1 つのスコアに集約して、現在のセキュリティの状況を一目で確認できるようにします。スコアが高くなるほど、識別されたリスク レベルが低下します。
Azure portal のページには、セキュリティ スコアがパーセント値として表示され、基になる値も明確に示されます。
Azure mobile app には、セキュリティ スコアがパーセンテージ値として表示され、セキュリティ スコアをタップするとスコアに関する詳細情報が表示されます。
セキュリティを強化するには、Defender for Cloud の推奨事項ページを確認し、各問題の修復手順を実装して推奨事項を修復します。 推奨事項は、セキュリティ コントロールにグループ化されています。 各コントロールは、関連するセキュリティの推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。 コントロール内の 1 つのリソースに関する推奨事項を "すべて" 修復した場合にのみ、スコアが向上します。 組織が個々の攻撃面をどの程度セキュリティで保護できているかを確認するには、各セキュリティ コントロールのスコアを確認します。
詳細については、「セキュリティ スコアの計算方法」を参照してください。
セキュリティ体制の管理
[セキュリティ体制] ページでは、サブスクリプション全体のセキュリティ スコアと、サブスクリプション内の各環境を確認できます。 既定ではすべての環境が表示されます。
![[セキュリティ態勢] ページのスクリーンショット。](media/secure-score-security-controls/security-posture-page.png)
| ページ セクション | 説明 |
|---|---|
|
環境を選択して、セキュリティ スコアと詳細を確認します。 複数の環境を一度に選択できます。 ページは、選択した内容に基づいて変更されます。 |
![[セキュリティ態勢] ページの環境セクションのスクリーンショット。](media/secure-score-security-controls/environment.png)
|
全体のスコアに影響を与えるサブスクリプション、アカウント、およびプロジェクトの合計数が表示されます。 また、問題のあるリソースの数と、環境内に存在する推奨事項の数も表示されます。 |
ページの下半分では、個々のセキュリティ スコア、異常なリソースの数の表示と管理を行うことができ、さらに個々のサブスクリプション、アカウント、プロジェクトの推奨事項を表示することもできます。
[環境別にグループ化] チェックボックスをオンにすると、このセクションを環境別にグループ化できます。
![[セキュリティ態勢] ページの下半分のスクリーンショット。](media/secure-score-security-controls/bottom-half.png)
セキュリティ スコアの計算方法
総合的なセキュリティ スコアに対する各セキュリティ コントロールの影響は、[推奨事項] ページに示されています。
セキュリティ コントロールで取得可能なポイントをすべて取得するには、すべてのリソースがセキュリティ コントロール内のすべてのセキュリティの推奨事項に準拠している必要があります。 たとえば、Defender for Cloud には、管理ポートをセキュリティで保護する方法に関する複数の推奨事項があります。 今後は、セキュリティ スコアを改善するには、これらをすべて修復する必要があります。
コントロールのスコアの例
次の点に注意してください。
脆弱性の修復セキュリティ コントロール - このコントロールは、既知の脆弱性の検出と解決に関連する複数のレコメンデーションをグループ化します。
最大スコア - コントロール内のすべての推奨事項を完了することによって得られるポイントの最大数です。 コントロールの最大スコアは、そのコントロールの相対的な有意性を示し、各環境で固定されます。 最大スコア値を使用して問題をトリアージし、最初に対処すべき問題を決定します。
すべてのコントロールとその最大スコアの一覧については、「セキュリティ コントロールとそのレコメンデーション」を参照してください。Current score (現在のスコア) - このコントロールの現在のスコアです。
現在のスコア = [リソースあたりのスコア] * [正常なリソースの数]
合計スコアは、各コントロールを基にしています。 この例のコントロールは、現在の合計セキュリティ スコアに 2.00 ポイント貢献しています。
スコア上昇の可能性 - コントロール内で取得できる残りのポイント。 このコントロールのすべてのレコメンデーションを修復すると、スコアが 9% 増加します。
潜在スコア増加 = [リソースあたりのスコア] * [異常なリソースの数]
分析情報 - 各推奨事項に関する追加情報を提供します。例:
プレビューの推奨事項 - この推奨事項は、GA になるまではセキュア スコアには影響を与えません。
修正 - [推奨事項の詳細] ページ内から、この問題を解決するために '修正' を使用できます。
強制 - [推奨事項の詳細] ページ内から、他のユーザーが準拠していないリソースを作成したときに、ポリシーを自動的に展開してこの問題を修正することができます。
拒否 - [推奨事項の詳細] ページ内から、この問題によって新しいリソースが作成されるのを止めることができます。
計算 - スコアを理解する
| メトリック | 式と例 |
|---|---|
| セキュリティ コントロールの現在のスコア |  セキュリティ スコアは、個々のセキュリティ コントロールを基にしています。 コントロールの現在のスコアは、コントロール内の推奨事項によって影響を受ける各リソースを基にしています。 各コントロールの現在のスコアは、コントロール内でリソースの状態を測定したものです。  この例では、最大スコア 6 は、正常なリソースと異常なリソースの合計値である 78 で割ることになります。 6 / 78 = 0.0769 これを正常なリソースの数 (4) で乗算すると、次に示す現在のスコアになります。 0.0769 * 4 = 0.31 |
| セキュリティ スコア 1 つのサブスクリプション、またはコネクタ |
  この例では、すべてのセキュリティ コントロールを適用可能な 1 つのサブスクリプションまたはコネクタがあります (潜在的な最大スコアは 60 ポイントです)。 スコアには取得可能な 60 ポイントのうち 28 ポイントが示され、残りの 32 ポイントは、セキュリティ コントロールの "潜在的な増加スコア" の数値に反映されます。  この式は、word サブスクリプションが word コネクタに置き換えられているだけのコネクタに対しても同じ式です。 |
| セキュリティ スコア 複数のサブスクリプションとコネクタ |
 複数のサブスクリプションとコネクタに対する合計スコアには、各サブスクリプションとコネクタに対する "重み" が含まれています。 サブスクリプションとコネクタの相対的な重みは、リソースの数などの要素に基づいて Security Center によって決定されます。 各サブスクリプションとコネクタの現在のスコアは、1 つのサブスクリプションまたはコネクタの場合と同じ方法で計算されますが、式に示されているように重みが適用されます。 複数のサブスクリプションとコネクタを表示するときに、セキュリティ スコアは、すべての有効なポリシー内のすべてのリソースを評価し、各セキュリティ コントロールの最大スコアに対するその組み合わせの影響をグループ化します。  結合されたスコアは平均ではありません。これは、すべてのサブスクリプションとコネクタのすべてのリソースの状態の体制を評価したものです。 ここでも、[推奨事項] ページにアクセスして、取得可能なポイントを追加すると、現在のスコア (22) と利用可能な最大スコア (58) の差を確認できます。 |
セキュリティ スコアの計算に含まれる推奨事項
セキュリティ スコアに影響するのは、組み込みの推奨事項のみです。
プレビューのフラグが設定されている推奨事項は、セキュリティ スコアの計算からは除外されます。 それでも、その推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。
プレビューの推奨事項には、次のマークが付けられています。
セキュリティ スコアを向上させる
セキュリティ スコアを向上させるには、推奨事項リストのセキュリティの推奨事項を修復してください。 各推奨事項は、リソースごとに手動で修復する、または [修正] オプション (利用可能な場合) を使用して、複数のリソースの問題を迅速に解決することもできます。 詳細については、「推奨事項の修復」を参照してください。
関連する推奨事項に対して強制と拒否のオプションを構成することで、スコアを向上させ、ユーザーがスコアに悪影響を与えるリソースを作成しないようにすることもできます。
セキュリティ コントロールとその推奨事項
次の表に、Microsoft Defender for Cloud のセキュリティコントロールを示します。 コントロールごとに、"すべて" のリソースにおいて、コントロールに示されている "すべて" の推奨事項を修復した場合に取得できるセキュリティ スコアのポイントの最大数が表示されます。
Defender for Cloud で提供される一連のセキュリティ推奨事項は、各組織の環境で使用可能なリソースに合わせて調整されています。 ポリシーを無効 にし、推奨事項から特定のリソースを除外 して、推奨事項をさらにカスタマイズすることができます。
どの組織においても、割り当てられている Azure Policy イニシアティブを慎重に確認することをお勧めします。
ヒント
イニシアティブのレビューと編集の詳細については、「セキュリティ ポリシーの操作」を参照してください。
Defender for Cloudのデフォルトのセキュリティイニシアチブは業界のベストプラクティスと標準に基づいていますが、以下にリストされている組み込みの推奨事項が組織に完全に適合しない場合があるシナリオがあります。 組織独自のポリシー、業界標準、規制標準、およびベンチマークと連携するように、セキュリティを損なうことなく既定のイニシアチブを調整することが必要になる場合があります。
| セキュリティ スコア | セキュリティ コントロールと説明 | Recommendations (推奨事項) |
|---|---|---|
| 10 | MFA を有効にする Defender for Cloud では、多要素認証 (MFA) に高い値が設定されます。 これらの推奨事項を使用して、サブスクリプションのユーザーをセキュリティで保護します。 MFA を有効にし、推奨事項に準拠するには、セキュリティの既定値、ユーザーごとの割り当て、条件付きアクセス ポリシーの 3 つの方法があります。 これらのオプションの詳細については、サブスクリプションでの MFA 実施の管理に関する記事を参照してください。 |
- Azure リソースの所有者アクセス許可があるアカウントで MFA を有効にする必要がある - Azure リソースの書き込みアクセス許可があるアカウントで MFA を有効にする必要がある - サブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要がある - サブスクリプションに対して書き込みアクセス許可があるアカウントでは、MFA を有効にする必要がある |
| 8 | 管理ポートのセキュリティ保護 - ブルートフォース攻撃では、管理ポートがしばしば標的になります。 これらの推奨事項と、Just-In-Time VM アクセスやネットワーク セキュリティ グループなどのツールを使用して露出を減らします。 | - インターネットに接続されている仮想マシンをネットワーク セキュリティ グループで保護する必要がある - 仮想マシンの管理ポートを Just-In-Time のネットワーク アクセス制御で保護する必要がある - 仮想マシンの管理ポートは閉じておく必要があります |
| 6 | システムの更新プログラムの適用 - 更新プログラムを適用しないと、修正プログラムが脆弱性に適用されないままになるため、環境は攻撃を受けやすくなります。 これらの推奨事項を使用して、運用効率を維持し、セキュリティ脆弱性を軽減し、より安定した環境をエンド ユーザーに提供することができます。 システムの更新プログラムを展開するには、Update Management ソリューションを使用してマシンの修正プログラムと更新プログラムを管理します。 | - Log Analytics エージェントを Linux ベースの Azure Arc 対応マシンにインストールする必要がある - 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある - Log Analytics エージェントは仮想マシンにインストールする必要がある - Log Analytics エージェントを Windows ベースの Azure Arc 対応マシンにインストールする必要がある - 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があります - システム更新プログラムをマシンにインストールする必要があります - システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) |
| 6 | 脆弱性を修復する Defender for Cloud には、マシン、データベース、コンテナー レジストリで脅威アクターが利用する可能性のある脆弱性を確認する複数の脆弱性評価スキャナーが含まれています。 これらの推奨事項を使用して、これらのスキャナーを有効にし、検出結果を確認してください。 マシン、SQL サーバー、コンテナー レジストリのスキャンの詳細を確認してください。 |
- Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある - Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある - コード リポジトリでコード スキャンの検出結果を解決する必要がある - コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある - コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある - コード リポジトリでシークレット スキャンの検出結果を解決する必要がある - コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある - コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある - 関数アプリでは、脆弱性の検出結果が解決されている必要がある - Kubernetes クラスターで、脆弱性のあるイメージのデプロイを制限する必要がある - マシンに脆弱性評価ソリューションを導入する必要がある - マシンでは、脆弱性の検出結果が解決されている必要がある - 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある |
| 4 | セキュリティ構成の修復 - 正しく構成されていない IT 資産は、攻撃の対象となる危険性が高くなります。 これらの推奨事項を使用して、インフラストラクチャ全体で識別された構成ミスを修正します。 | - Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある - Azure DevOps セキュリティ態勢の調査結果を解決する必要がある - Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある - コンテナーでは、許可されている AppArmor プロファイルのみを使用する - Log Analytics エージェントを Linux ベースの Azure Arc 対応マシンにインストールする必要がある - 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある - Log Analytics エージェントは仮想マシンにインストールする必要がある - Log Analytics エージェントを Windows ベースの Azure Arc 対応マシンにインストールする必要がある - マシンを安全に構成する必要がある - SQL データベースでは脆弱性の検出結果を解決する必要がある - SQL マネージド インスタンスでは脆弱性評価を構成する必要がある - マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある - SQL サーバーに脆弱性評価を構成する必要がある - 仮想マシン スケール セットを安全に構成する必要がある - Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成) - Windows マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成) |
| 4 | アクセスおよびアクセス許可の管理 - セキュリティ プログラムの中核となるのは、ユーザーがそのジョブを実行するために必要なアクセスを付与しても、それ以上の権利を付与しないことです。つまり、最小限の特権モデルに従う必要があります。 これらの推奨事項を使用して、ID とアクセスの要件を管理します。 | - Linux マシンに対する認証では SSH キーを要求する必要がある - Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある - Azure Cosmos DB アカウントで、Azure Active Directory を唯一の認証方法として使用する必要がある - Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある - Azure リソースの所有者アクセス許可があるブロックされたアカウントを削除する必要がある - Azure リソースの読み取りおよび書き込みアクセス許可があるブロックされたアカウントを削除する必要がある - 特権エスカレーションを含むコンテナーは避ける必要がある - 機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある - 非推奨のアカウントはサブスクリプションから削除する必要がある - 所有者アクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要がある - 所有者のアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある - 書き込みアクセス許可がある外部アカウントをサブスクリプションから削除する必要がある - 関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある - Azure リソースの所有者アクセス許可があるゲスト アカウントを削除する必要がある - Azure リソースの書き込みアクセス許可があるゲスト アカウントを削除する必要がある - ゲスト構成拡張機能がマシンにインストールされている必要がある - コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある - コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある - API アプリではマネージド ID を使用する必要がある - 関数アプリではマネージド ID を使用する必要がある - Web アプリではマネージド ID を使用する必要がある - 特権コンテナーの使用を避ける必要がある - Kubernetes Services ではロールベースのアクセス制御を使用する必要がある - コンテナーをルート ユーザーとして実行しない - Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要があります - ストレージ アカウントのパブリック アクセスを禁止する必要がある - ポッドの HostPath ボリューム マウントの使用を既知のリストに制限して、侵害されたコンテナーからのノード アクセスを制限する必要がある - 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある |
| 4 | 保存時の暗号化の有効化 - これらの推奨事項を使用して、格納されているデータの保護に関する構成ミスを減らします。 | - Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要があります - Transparent Data Encryption を SQL データベース上で有効にする必要があります - コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある |
| 4 | 転送中のデータの暗号化 - これらの推奨事項を使って、コンポーネント、拠点、またはプログラム間を移動するデータをセキュリティで保護します。 そのようなデータは、中間者攻撃、盗聴、セッション ハイジャックの影響を受けやすいものです。 | - API アプリには HTTPS を介してのみアクセスできるようにする必要があります - MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - API アプリで FTPS を必須とする必要がある - 関数アプリで FTPS を必須とする必要がある - Web アプリで FTPS を必須とする必要がある - Function App には HTTPS 経由でのみアクセスできるようにする必要があります - Redis Cache で SSL 経由のアクセスのみを許可する必要がある - ストレージ アカウントへの安全な転送を有効にする必要があります - API アプリ用に TLS を最新バージョンに更新する必要がある - 関数アプリ用に TLS を最新バージョンに更新する必要がある - Web アプリ用に TLS を最新バージョンに更新する必要がある - Web アプリケーションには HTTPS を介してのみアクセスできるようにする必要があります |
| 4 | 承認されていないネットワーク アクセスの制限 - Azure には、ネットワーク全体のアクセスが最高のセキュリティ標準を満たすように設計された一連のツールが用意されています。 これらの推奨事項を使用して、Security Center のアダプティブ ネットワーク セキュリティ強化の設定を管理する、関連するすべての PaaS サービスに対して Azure Private Link が構成済みであることを確認する、仮想ネットワークで Azure Firewall を有効にするなどの対策を講じます。 |
- アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある - 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある - App Configuration ではプライベート リンクを使用する必要がある - Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある - Azure Cache for Redis は仮想ネットワーク内に存在しなければならない - Azure Event Grid ドメインではプライベート リンクを使用する必要がある - Azure Event Grid トピックではプライベート リンクを使用する必要がある - Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある - Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある - Azure SignalR Service ではプライベート リンクを使用する必要がある - Azure Spring Cloud ではネットワークの挿入を使用する必要がある - コンテナー レジストリでは無制限のネットワーク アクセスを許可しない - コンテナー レジストリではプライベート リンクを使用する必要がある - CORS で API アプリへのアクセスをすべてのリソースには許可しない - CORS で関数アプリへのアクセスをすべてのリソースには許可すべきではない - CORS で Web アプリケーションへのアクセスをすべてのリソースには許可しない - キー コンテナーでファイアウォールを有効にする必要がある - インターネットに接続されている仮想マシンをネットワーク セキュリティ グループで保護する必要がある - 仮想マシンでの IP 転送を無効にする必要があります - Kubernetes API サーバーは制限付きアクセスで構成する必要がある - キー コンテナー用にプライベート エンドポイントを構成する必要がある - MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある - MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある - PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある - MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - サービスは許可されたポートでのみリッスンする必要がある - ストレージ アカウントではプライベート リンク接続を使用する必要がある - ストレージ アカウントでは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある - ホスト ネットワークとポートの使用を制限する必要がある - 仮想ネットワークは、Azure Firewall によって保護する必要がある - VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある |
| 3 | 適応型アプリケーション制御の適用 - 適応型アプリケーション制御は、どのアプリケーションをマシンで実行できるかを制御するための、インテリジェントで、自動化された、エンドツーエンドのソリューションです。 また、これは、マルウェアに対してマシンを強化するためにも役立ちます。 | - 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある - 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある - Log Analytics エージェントを Linux ベースの Azure Arc 対応マシンにインストールする必要がある - Log Analytics エージェントは仮想マシンにインストールする必要がある - Log Analytics エージェントを Windows ベースの Azure Arc 対応マシンにインストールする必要がある |
| 2 | DDoS 攻撃からのアプリケーションの保護 - Azure の高度なネットワーク セキュリティ ソリューションには、Azure DDoS Protection、Azure Web Application Firewall、Kubernetes 用の Azure Policy アドオンが含まれます。 これらの推奨事項を使用して、アプリケーションがこれらのツールやその他の手段によって保護されていることを確認します。 | - Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある - Azure DDoS Protection Standard を有効にする必要がある - Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある - コンテナーの CPU とメモリの制限を強制する必要がある - Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある - Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある |
| 2 | Endpoint Protection の有効化 - Security Center ではお客様の組織のエンドポイントを検査し、アクティブな脅威検出および対応ソリューションがないか調べます。たとえば、こちらの一覧で示されている Microsoft Defender for Endpoint やその他の主要なソリューションです。 エンドポイントでの検出と対応 (EDR) ソリューションが見つからない場合は、これらの推奨事項を使用して、Microsoft Defender for Endpoint をデプロイします (これは、Azure Defender for servers の一部として含まれています)。 このコントロールの他の推奨事項は、Log Analytics エージェントのデプロイや、ファイルの整合性の監視構成を行う上で役立ちます。 |
- マシンのエンドポイント保護の正常性の問題を解決する必要がある - マシンのエンドポイント保護の正常性の問題を解決する必要がある - 仮想マシン スケール セットで Endpoint Protection の正常性の問題を解決する必要がある - エンドポイント保護をマシンにインストールする必要がある - エンドポイント保護をマシンにインストールする必要がある - Virtual Machine Scale Sets にエンドポイント保護をインストールする必要がある - 仮想マシンにエンドポイント保護ソリューションをインストールする - Log Analytics エージェントを Linux ベースの Azure Arc 対応マシンにインストールする必要がある - 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある - Log Analytics エージェントは仮想マシンにインストールする必要がある - Log Analytics エージェントを Windows ベースの Azure Arc 対応マシンにインストールする必要がある |
| 1 | 監査とログの有効化 - 詳細ログは、インシデント調査とその他の多くのトラブルシューティング操作の重要な部分です。 このコントロールの推奨事項は、必要な場面で診断ログが有効にされていたかどうかを確認することに焦点を当てています。 | - SQL Server の監査を有効にする必要があります - App Service における診断ログを有効にする必要があります - Azure Data Lake Store の診断ログを有効にする必要があります - Azure Stream Analytics の診断ログを有効にする必要があります - Batch アカウントで診断ログを有効にする必要があります - Data Lake Analytics の診断ログを有効にする必要があります - イベント ハブの診断ログを有効にする必要があります - Key Vault で診断ログを有効にする必要があります - Kubernetes サービスの診断ログを有効にする必要がある - Logic Apps で診断ログを有効にする必要があります - Search サービスにおける診断ログを有効にする必要がある - Service Bus で診断ログを有効にする必要があります - 仮想マシン スケール セットの診断ログを有効にする必要があります |
| 0 | 強化されたセキュリティ機能を有効にする - これらの推奨事項を使用して、強化されたセキュリティ機能プランを有効にしてください。 | - Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある - Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある - マシンでファイルの整合性の監視を有効にする必要がある - GitHub リポジトリでコード スキャンを有効にする必要がある - GitHub リポジトリで Dependabot スキャンを有効にする必要がある - GitHub リポジトリでシークレット スキャンを有効にする必要がある - Microsoft Defender for App Service を有効にする必要がある - Microsoft Defender for Azure SQL Database サーバーを有効にする必要がある - Microsoft Defender for Containers を有効にする必要がある - Microsoft Defender for DNS を有効にする必要がある - Microsoft Defender for Key Vault を有効にする必要がある - Microsoft Defender for open-source relational databases を有効にする必要がある - Microsoft Defender for Resource Manager を有効にする必要がある - Microsoft Defender for servers を有効にする必要がある - Microsoft Defender for servers をワークスペース上で有効にする必要がある - Microsoft Defender for SQL on machines をワークスペース上で有効にする必要がある - マシン上の Microsoft Defender for SQL サーバーを有効にする必要がある - Microsoft Defender for Storage を有効にする必要がある |
| 0 | セキュリティのベスト プラクティスの実装 - このコントロールは、お客様のセキュア スコアに影響しません。 そのため、これは、お客様の組織のセキュリティにとっては実行するのが重要ではあるものの、スコア全体を評価する方法の一部とすべきではないと考えられる推奨事項のコレクションです。 | - [必要に応じて有効にする] Azure Cosmos DB アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある - [必要に応じて有効にする] Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある - [必要に応じて有効にする] Cognitive Services アカウントでは、カスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある - [必要に応じて有効にする] コンテナー レジストリはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある - [必要に応じて有効にする] MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - [必要に応じて有効にする] PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - [必要に応じて有効にする] SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - [必要に応じて有効にする] SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - [必要に応じて有効にする] ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある - サブスクリプションに対して、最大 3 人の所有者を指定する必要がある - ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要があります - Azure リソースの読み取りアクセス許可があるアカウントで MFA を有効にする必要がある - SQL マネージド インスタンスの Advanced Data Security 設定では、すべての Advanced Threat Protection の種類を有効にする必要があります - SQL Server の Advanced Data Security 設定では、すべての Advanced Threat Protection の種類を有効にする必要があります - API Management サービスには仮想ネットワークが使用されている必要がある - SQL サーバーの監査のリテンション期間は少なくとも 90 日に設定する必要がある - 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある - Automation アカウント変数を暗号化する必要があります - 仮想マシンに対して Azure Backup を有効にする必要がある - Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある - Cognitive Services アカウントでデータ暗号化を有効にする必要がある - Cognitive Services アカウントでネットワーク アクセスを制限する必要がある - Cognitive Services アカウントで、顧客所有のストレージを使用するか、データ暗号化を有効にする必要がある - コンテナーのホストを安全に構成する必要がある - 既定の IP フィルター ポリシーを拒否にする必要がある - IoT Hub の診断ログを有効にする必要があります - 重要度が高いアラートの電子メール通知を有効にする必要がある - 重要度が高いアラートについて、サブスクリプション所有者に対する電子メール通知を有効にする必要がある - API アプリでクライアント証明書 (着信クライアント証明書) が [オン] に設定されていることを確認する - 読み取りアクセス許可がある外部アカウントはサブスクリプションから削除する必要がある - Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある - Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある - Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある - Azure リソースの読み取りアクセス許可があるゲスト アカウントを削除する必要がある - サポートされている Linux 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある - Guest Attestation 拡張機能を、サポートしている Linux 仮想マシンにインストールする必要がある - サポートされている Windows 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある - Guest Attestation 拡張機能を、サポートしている Windows 仮想マシンにインストールする必要がある - ゲスト構成拡張機能がマシンにインストールされている必要がある - 認証の資格情報が同一 - IP フィルター ルールの IP 範囲が広い - API アプリ用に Java を最新バージョンに更新する必要がある - 関数アプリ用に Java を最新バージョンに更新する必要がある - Web アプリ用に Java を最新バージョンに更新する必要がある - Key Vault キーには有効期限が必要である - Key Vault シークレットには有効期限が必要である - キー コンテナーで消去保護が有効になっている必要がある - キー コンテナーで論理的な削除が有効になっている必要がある - Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある - Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある - Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない - Kubernetes クラスターでは既定の名前空間を使用しない - Linux 仮想マシンでカーネル モジュール署名の検証を強制する必要がある - Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある - Linux 仮想マシンではセキュア ブートを使用する必要がある - セキュリティ構成の更新を適用するにはマシンを再起動する必要がある - マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります - サブスクリプションに対して読み取りアクセス許可があるアカウントでは MFA を有効にする必要がある - 保護されていない Azure SQL サーバーに対して Microsoft Defender for SQL を有効にする必要がある - 保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある - Network Watcher を有効にする必要がある - インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある - サブスクリプションで過剰にプロビジョニングされた ID を調査して、アクセス許可クリープ インデックス (PCI) を削減する必要がある - API アプリ用に PHP を最新バージョンに更新する必要がある - Web アプリ用に PHP を最新バージョンに更新する必要がある - Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある - Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある - Cognitive Services アカウントに対して公衆ネットワーク アクセスを無効にする必要がある - API アプリ用に Python を最新バージョンに更新する必要がある - 関数アプリ用に Python を最新バージョンに更新する必要がある - Web アプリ用に Python を最新バージョンに更新する必要がある - API アプリでリモート デバッグを無効にする必要があります - Function App でリモート デバッグを無効にする必要があります - Web アプリケーションでリモート デバッグを無効にする必要がある - セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある - SQL サーバーに対して Azure Active Directory の管理者をプロビジョニングする必要がある - ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要があります - サブネットはネットワーク セキュリティ グループに関連付けられている必要がある - サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある - サブスクリプションに複数の所有者が割り当てられている必要がある - Azure Key Vault に保存されている証明書の有効期間は 12 か月以内にする必要がある - 仮想マシンのゲスト構成証明の状態は正常である必要がある - 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある - 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があります - vTPM はサポートされている仮想マシンで有効にする必要がある - Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある - マシンで Windows Defender Exploit Guard を有効にする必要がある - Windows Web サーバーをセキュリティで保護された通信プロトコルを使用するように構成する必要がある |
FAQ - セキュリティ スコア
セキュリティ コントロールの 4 つの推奨事項のうち 3 つだけに対処した場合、セキュリティ スコアは変わりますか。
いいえ。 1 つのリソースのすべての推奨事項を修復するまでスコアは変更されません。 コントロールの最大スコアを取得するには、すべてのリソースのすべての推奨事項を修復する必要があります。
推奨事項が自分に該当しないためポリシーで無効にした場合、セキュリティ コントロールは達成され、セキュリティ スコアが更新されますか。
はい。 お使いの環境該当しない推奨設定は、無効にすることをお勧めします。 特定の推奨事項を無効にする方法については、「セキュリティ ポリシーの無効化」を参照してください。
特定のセキュリティ コントロールによるセキュリティ スコアのポイントが 0 の場合、無視すべきですか。
場合によっては、コントロールの最大スコアが 0 を超えているにもかかわらず、影響がないことがあります。 リソース修正によるスコアの増分がごくわずかである場合は、0 に丸められます。 これらの推奨事項は修復するとセキュリティが強化されるため、無視しないでください。 唯一の例外は "追加のベスト プラクティス" コントロールです。 これらの推奨事項を修復してもスコアは増加しませんが、全体的なセキュリティが強化されます。
次のステップ
この記事では、セキュリティ スコアと含まれるセキュリティ コントロールについて説明しました。
関連資料については、次の記事をご覧ください。