Microsoft Defender for Cloud セキュア スコアとインベントリを使用して、セキュリティ リスクを特定して修復する

  • 7 分

セキュリティ スコアの概要

Microsoft Defender for Cloud には、主に次の 2 つの目標があります。

  1. 現在のセキュリティ状況を把握すること
  2. セキュリティを効率的かつ効果的に向上させること

これらの目標を達成できるようにする Defender for Cloud の中心となる機能が、セキュリティ スコアです。

Defender for Cloud では、セキュリティの問題について、クラウド間のリソースを継続的に評価します。 次に、現在のセキュリティ状況を一目で把握できるように、すべての調査結果が単一のスコアに集約されます。スコアが高くなるほど、特定されるリスク レベルが低くなります。

  • Azure portal のページには、セキュリティ スコアがパーセント値として表示され、基になる値も明確に示されます。

セキュリティ態勢ページを示すスクリーンショット。

  • Azure mobile app には、セキュリティ スコアがパーセンテージ値として表示され、セキュリティ スコアをタップするとスコアに関する詳細情報が表示されます。

セキュリティ スコアの結果を示すスクリーンショット。

セキュリティを強化するには、Defender for Cloud の推奨事項ページを確認し、各問題の修復手順を実装して推奨事項を修復します。 推奨事項は、セキュリティ コントロールにグループ化されています。 各コントロールは、関連するセキュリティの推奨事項の論理的なグループであり、脆弱な攻撃対象領域を反映しています。 "コントロール内の 1 つのリソース" に関する推奨事項を "すべて修復" した場合にのみ、スコアが向上します。 組織が個々の攻撃面をどの程度セキュリティで保護できているかを確認するには、各セキュリティ コントロールのスコアを確認します。

セキュリティ スコアの計算方法

Microsoft Defender for Cloud の推奨事項ページを示すスクリーンショット。

セキュリティ コントロールで取得可能なポイントをすべて取得するには、すべてのリソースがセキュリティ コントロール内のすべてのセキュリティ推奨事項に準拠している必要があります。 たとえば、Defender for Cloud には、管理ポートをセキュリティで保護する方法に関する複数の推奨事項があります。 今後は、セキュリティ スコアを改善するには、これらをすべて修復する必要があります。

コントロールのスコアの例

コントロールの Microsoft Defender for Cloud サンプル スコアを示すスクリーンショット。

この例では、次のようになります

  • 脆弱性の修復セキュリティ コントロール - このコントロール グループには、既知の脆弱性の検出と解決に関連する複数の推奨事項が含まれます。

  • 最大スコア - コントロール内のすべての推奨事項を完了することによって得られるポイントの最大数です。 コントロールの最大スコアは、そのコントロールの相対的な有意性を示し、各環境で固定されます。 最大スコア値を使用して問題をトリアージし、最初に対処すべき問題を決定します。

  • Current score (現在のスコア) - このコントロールの現在のスコアです。

    現在のスコア = [リソースあたりのスコア] * [正常なリソースの数]

    合計スコアは、各コントロールを基にしています。 この例のコントロールは、現在の合計セキュリティ スコアに 2.00 ポイント貢献しています。

  • スコア上昇の可能性 - コントロール内で取得できる残りのポイント。 このコントロールのすべてのレコメンデーションを修復すると、スコアが 9% 増加します。

    潜在スコア増加 = [リソースあたりのスコア] * [異常なリソースの数]

  • 分析情報 - 各推奨事項に関する追加情報を提供します。例:

    • 追加の詳細を提供するプレビューの推奨事項アイコンのスクリーンショット。推奨事項のプレビュー - 一般公開 (GA) まで、この推奨事項はセキュア スコアに影響を与えません。
    • 問題の解決に使用できる修正アイコンのスクリーンショット。 修正 - [推奨事項の詳細] ページ内から、この問題を解決するために '修正' を使用できます。
    • 問題を解決するためのポリシーを自動的に展開できる適用アイコンのスクリーンショット。 強制 - [推奨事項の詳細] ページ内から、他のユーザーが準拠していないリソースを作成したときに、ポリシーを自動的に展開してこの問題を修正することができます。
    • 特定された問題がある新しいリソースが作成されないようにするための拒否アイコンのスクリーンショット。 拒否 - [推奨事項の詳細] ページ内から、この問題によって新しいリソースが作成されるのを止めることができます。

セキュリティ スコアの計算に含まれる推奨事項

  • セキュリティ スコアに影響するのは、組み込みの推奨事項のみです。
  • プレビューのフラグが設定されている推奨事項は、セキュリティ スコアの計算からは除外されます。 それでも、それらはプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。
  • プレビューの推奨事項は、一般提供後のセキュリティ スコア オプションの推奨事項のプレビュー アイコンのスクリーンショット。 でマークされています。

セキュリティ スコアを向上させる

セキュリティ スコアを向上させるには、推奨事項リストのセキュリティの推奨事項を修復してください。 各推奨事項は、リソースごとに手動で修復する、または修正オプション (利用可能な場合) を使用して、複数のリソースの問題を迅速に解決することもできます。

関連する推奨事項に対して強制と拒否のオプションを構成することで、スコアを向上させ、ユーザーがスコアに悪影響を与えるリソースを作成しないようにすることもできます。

よく寄せられる質問 (FAQ) セキュリティ スコア

セキュリティ コントロールの 4 つの推奨事項のうち 3 つだけに対処した場合、セキュリティ スコアは変わりますか?

いいえ。 1 つのリソースのすべての推奨事項を修復するまでスコアは変更されません。 コントロールの最大スコアを取得するには、すべてのリソースのすべての推奨事項を修復する必要があります。

推奨事項が自分に該当しないためポリシーで無効にした場合、セキュリティ コントロールは達成され、セキュリティ スコアが更新されますか。

はい。 お使いの環境該当しない推奨設定は、無効にすることをお勧めします。

特定のセキュリティ コントロールによるセキュリティ スコアのポイントが 0 の場合、無視すべきですか?

場合によっては、コントロールの最大スコアが 0 を超えているにもかかわらず、影響がないことがあります。 リソース修正によるスコアの増分がごくわずかである場合は、0 に丸められます。 これらの推奨事項は修復するとセキュリティが強化されるため、無視しないでください。 唯一の例外は "追加のベスト プラクティス" コントロールです。 これらの推奨事項を修復してもスコアは増加しませんが、全体的なセキュリティが強化されます。