次の方法で共有


Microsoft セキュア スコア

Microsoft Secure Score は、organizationのセキュリティ体制の測定値であり、より多くの数値で推奨されるアクションが実行されることを示します。 これは、Microsoft Defender ポータルの Microsoft Secure Score で確認できます。

セキュリティ スコアの推奨事項を実行することにより、組織を脅威から保護できます。 組織は、Microsoft Defender ポータルの一元化されたダッシュボードから、Microsoft 365 の ID、アプリ、デバイスのセキュリティを監視および操作できます。

セキュア スコアは、次のような方法で組織の役に立ちます。

  • 組織のセキュリティ体制の現在の状態について報告します。
  • 検出可能性、可視性、ガイダンス、制御機能を提供して、セキュリティ体制を改善します。
  • ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。

セキュア スコアの概要については、このビデオをご覧ください。

指標と傾向の堅牢な視覚化、他の Microsoft 製品との統合、類似組織とのスコア比較などを、組織で利用することができます。 スコアは、Microsoft 以外のソリューションが推奨されるアクションに対処した場合にも反映されます。

Microsoft Defender ポータルの Microsoft Secure Score ホームページを示すスクリーンショット

メカニズム

次のアクションのポイントを取得します。

  • 推奨されるセキュリティ機能の構成
  • セキュリティ関連のタスクの実行
  • Microsoft 以外のアプリケーションまたはソフトウェア、または代替の軽減策を使用して推奨されるアクションに対処する

推奨されるアクションの中には、完全に完了した時点でのみポイントが与えられます。 一部のデバイスまたはユーザーのタスクが完了すると、一部のアクションによって部分的なポイントが発生します。 推奨されるアクションの 1 つを適用できない場合、または実行したくない場合は、リスクを受け入れるか、残りのリスクを受け入れることを選択できます。

サポートされている Microsoft 製品のいずれかのライセンスをお持ちの場合は、それらの製品に関する推奨事項が表示されます。 ライセンス エディション、サブスクリプション、プランに関係なく、製品に関して考えられる推奨事項の完全なセットが表示されます。 これにより、セキュリティのベスト プラクティスを理解し、スコアを向上させることができます。 セキュリティ スコアで表される絶対的なセキュリティ体制は、organizationが特定の製品に対して所有しているライセンスに関係なく同じままです。 セキュリティは使いやすさとバランスが取れている必要があり、すべての推奨事項がご使用の環境に適しているわけではないことを覚えておいてください。

スコアはリアルタイムで更新され、視覚化と推奨されるアクション ページに表示される情報が反映されます。 またセキュア スコアは毎日同期を行い、各アクションで達成されたポイントに関するシステム データを受信します。

注:

Microsoft TeamsおよびMicrosoft Entra関連する推奨事項の場合、構成状態で変更が発生すると推奨事項の状態が更新されます。 さらに、推奨事項の状態は、それぞれ月に 1 回または週に 1 回更新されます。

重要なシナリオ

推奨される各アクションは 10 ポイント以下の価値があり、そのほとんどはバイナリ形式でスコア付けされます。 新しいポリシーの作成や特定の設定の有効化など、推奨されるアクションを実装すると、ポイントの 100% が得られます。 その他の推奨されるアクションの場合、ポイントは構成全体に対する割合として指定されます。

たとえば、推奨されるアクションでは、多要素認証を使用してすべてのユーザーを保護することで 10 ポイントを取得するとします。 保護されているユーザーの総数は 100 人のうち 50 人だけなので、5 ポイントの部分スコア (50 個の保護されたポイント/ 100 個の合計 * 10 個の最大 pts = 5 pts) が得られます。

セキュア スコアに含まれる製品

現在、次の製品に関する推奨事項があります。

  • アプリ ガバナンス
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview Information Protection
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • 拡大/縮小

その他のセキュリティ製品の推奨事項は近日リリース予定です。 推奨事項は、各製品に関連付けられているすべての攻撃対象領域をカバーしているわけではありませんが、適切なベースラインです。 推奨されるアクションを、Microsoft 以外のソリューションまたは代替の軽減策の対象としてマークすることもできます。

セキュリティの既定値

Microsoft Secure Score には、一般的な攻撃に対する事前構成済みのセキュリティ設定を使用してorganizationを保護しやすくするために、[Microsoft Entra ID のセキュリティの既定値](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) をサポートするための更新された推奨アクションが含まれています。

セキュリティの既定値をオンにすると、次の推奨されるアクションの完全なポイントが付与されます。

  • すべてのユーザーがセキュリティで保護されたアクセス (9 ポイント) の多要素認証を完了できることを確認する
  • 管理ロールに MFA を要求する (10 ポイント)
  • レガシ認証をブロックするポリシーを有効にする (7 つのポイント)

重要

セキュリティの既定値には、サインイン リスク ポリシーと同様のセキュリティを提供するセキュリティ機能と、ユーザー リスク ポリシーの推奨アクションが含まれます。 セキュリティの既定値に加えてこれらのポリシーを設定する代わりに、状態を Resolved through alternative mitigationに更新することをお勧めします。

セキュリティ スコアのアクセス許可

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) を使用してアクセス許可を管理する

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) を使用すると、Secure Score に対する特定のアクセス許可を持つカスタム ロールを作成できます。 これらのアクセス許可は、Defender XDR統合 RBAC アクセス許可モデルの [セキュリティ体制] カテゴリの下にあり、読み取り専用アクセスの場合は Exposure Management (読み取り) と、セキュリティ スコアの推奨事項を管理するアクセス権を持つユーザーの露出管理 (管理) という名前です。

ユーザーが Secure Score データにアクセスするには、Defender XDR統合 RBAC のカスタム ロールを Microsoft セキュリティ露出管理 データ ソースに割り当てる必要があります。

Microsoft Defender XDR統合 RBAC を使用してセキュリティ スコアのアクセス許可を管理するには、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。

注:

Defender XDR統合 RBAC は、Secure Score アクセスに対して自動的にアクティブになります。 いずれかのアクセス許可を持つカスタム ロールが作成されると、割り当てられたユーザーに即座に影響します。 アクティブ化する必要はありません。

現在、モデルはMicrosoft Defender ポータルでのみサポートされています。 GraphAPI (内部ダッシュボードや Defender for Identity Secure Score など) を使用する場合は、引き続きMicrosoft Entraロールを使用する必要があります。 サポート GraphAPI は後日計画されています。

グローバル ロールのアクセス許可をMicrosoft Entraする

Microsoft Entraグローバル ロール (グローバル管理者など) は、引き続き Secure Score にアクセスするために使用できます。 サポートされているMicrosoft Entraグローバル ロールを持っているが、Microsoft Defender XDR統合 RBAC でカスタム ロールに割り当てられていないユーザーは、引き続き、次の説明に従ってセキュリティ スコア データを表示 (および許可されている場所で管理) するためのアクセス権を持ちます。

次のロールは、読み取りおよび書き込みアクセス権を持ち、変更を加え、Secure Score と直接対話し、他のユーザーに読み取り専用アクセスを割り当てることができます。

  • グローバル管理者
  • セキュリティ管理者
  • Exchange 管理者
  • SharePoint 管理者

次のロールには読み取り専用アクセス権があり、推奨されるアクションの状態やメモの編集、スコア ゾーンの編集、カスタム比較の編集はできません。

  • ヘルプデスク管理者
  • ユーザー管理者
  • サービス サポート管理者
  • セキュリティ閲覧者
  • セキュリティ オペレーター
  • グローバル閲覧者

注:

最小限の特権アクセスの原則に従う場合 (ユーザーとグループにアクセス許可のみを付与する場合は、ユーザーとグループにアクセス許可を付与する必要があります)、セキュリティ スコアのアクセス許可を持つカスタム ロールが割り当てられているユーザーやセキュリティ グループに対して、既存の管理者特権Microsoft Entraグローバル ロールを削除することをお勧めします。 これにより、カスタム Microsoft Defender XDR統合 RBAC ロールが有効になります。

リスク認識

Microsoft セキュア スコアは、システム構成、ユーザーの行動、その他セキュリティ関連の測定に基づいて、セキュリティ体制の概要を数値的に表したものです。 これは、システムまたはデータが侵害される可能性を絶対的に測定することではありません。 代わりに、Microsoft 環境でセキュリティ制御を使用している範囲を表します。これは、侵害のリスクを相殺するのに役立ちます。 オンライン サービスはセキュリティ侵害から免除されません。セキュリティ スコアは、セキュリティ侵害に対する保証として解釈しないでください。

ご意見をお聞かせください。

問題がある場合は、 セキュリティ、プライバシー & コンプライアンス コミュニティに投稿して、お知らせください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。