Cloud Service
Microsoft Defender for Cloud
マルチクラウドの態勢管理(CSPM)と脅威検知(CWPP)を一体で提供するセキュリティ基盤。AWS の Security Hub と GuardDuty と Inspector に相当。
- 1.クラウドの設定不備を可視化し、推奨事項とセキュアスコアで継続的に是正する。
- 2.サーバーやコンテナー、DB、ストレージへの脅威をリアルタイムに検知してアラート化。
- 3.Azure だけでなく AWS や GCP、オンプレも同じダッシュボードで横断管理できる。
解決する課題
- クラウドリソースが増えるほど、設定ミス(公開されたストレージ、過剰な権限、無効な暗号化)を人手で追いきれない
- サーバー・コンテナー・データベースなどへの攻撃や不審な振る舞いをリアルタイムに検知したい
- セキュリティ態勢が今どの程度安全なのかを定量的なスコアで把握し、優先順位をつけて改善したい
- Azure・AWS・GCP・オンプレが混在する環境を、1つのダッシュボードで横断的に統制したい
- 規制やフレームワーク(業界標準のベンチマークなど)への準拠状況を継続的に確認したい
主要概念と用語
Defender for Cloud は大きく「態勢管理(CSPM)」と「脅威検知(CWPP)」の2本柱で構成されます。
- CSPM(Cloud Security Posture Management): リソースの構成を継続的に評価し、設定不備を推奨事項として提示する態勢管理。基本機能は無償で利用でき、Defender CSPM プランで攻撃経路分析などの高度機能が加わる
- CWPP(Cloud Workload Protection Platform): サーバー・コンテナー・DB・ストレージなどのワークロードを保護し、脅威を検知する有償の保護プラン群(Defender プラン)
- セキュアスコア(Secure Score): 推奨事項の達成度をパーセンテージで集約した指標。改善活動の優先順位づけと進捗管理に使う
- 推奨事項(Recommendations): 「この設定を直すべき」という是正提案。多くは**修復手順(Quick Fix)**つきで、自動または半自動で適用できる
- セキュリティアラート(Alerts): 検知された脅威の通知。深刻度(高・中・低)が付与され、調査・対応の起点になる
- 規制コンプライアンス: 業界標準や社内基準に対する準拠状況をコントロール単位で可視化するダッシュボード
- Defender プラン: 保護対象ごとに有効化する単位。サーバー、コンテナー、データベース系、ストレージ、App Service、Key Vault、Resource Manager、API などに分かれる
- マルチクラウド接続(コネクタ): AWS アカウントや GCP プロジェクトを接続し、Azure と同じ態勢管理・脅威検知を適用する仕組み
- 攻撃経路分析(Attack Path Analysis): 公開リソースから機密データへ至る到達可能な攻撃の連鎖をグラフで提示する高度機能(Defender CSPM)
仕様・制限・クォータ
- 基本の CSPM(無償の態勢評価とセキュアスコア)は、サブスクリプションを Defender for Cloud に接続するだけで自動的に有効になる
- 脅威検知・高度機能は有償の Defender プランで、保護対象(サーバー、ストレージ、DB など)ごとに個別にオン/オフできる
- 課金単位はプランごとに異なり、サーバーは保護対象ノード単位、ストレージはトランザクション量、DB はインスタンス単位といった形で定性的に分かれる(具体的な単価・閾値は変動するため公式料金を参照)
- マルチクラウド(AWS / GCP)接続はネイティブのコネクタで行い、エージェントレスの態勢評価と、必要に応じたエージェントベースの保護を組み合わせる
- オンプレミス/他クラウドのサーバーは Azure Arc で Azure リソースとして取り込んでから保護を適用する
- データの収集には、Azure Monitor エージェントや、エージェントレスのスキャン(ディスクのスナップショット評価)など複数方式があり、対象に応じて選択する
セキュアスコアと基本的な推奨事項は無償で得られますが、脅威検知アラート・脆弱性スキャン・攻撃経路分析などの高度機能は有償の Defender プランを有効化して初めて使えます。「アラートが出ない」場合、多くは対象プランが未有効です。
内部の仕組み
Defender for Cloud は、態勢評価と脅威検知を別経路で実行します。
態勢評価(CSPM)は、Azure Resource Manager や各クラウドの API からリソース構成を継続的に読み取り、Microsoft が定義するポリシー(イニシアチブ)に照らして評価します。逸脱は推奨事項となり、セキュアスコアへ反映されます。脆弱性評価では、VM やコンテナーイメージをエージェントレスでスキャン(ディスクのスナップショットやレジストリの読み取り)して既知の脆弱性を洗い出します。
脅威検知(CWPP)は、各ワークロードから集めたシグナルを Microsoft の脅威インテリジェンスや機械学習・振る舞い分析で解析し、不審なプロセス起動・総当たりログイン・既知の悪性 IP との通信などをアラート化します。検知ロジックはマネージドで提供され、利用者が検知エンジンを保守する必要はありません。
- 収集したシグナルとアラートは Microsoft Sentinel(SIEM/SOAR) へ連携でき、相関分析や自動対応のオーケストレーションにつなげられる
- 推奨事項やアラートは Azure Policy / Logic Apps と組み合わせ、検知から修復までをワークフロー自動化できる
- マルチクラウドでは、AWS や GCP のリソースも Azure 側のモデルにマッピングして同一の評価・検知を適用する
Defender for Cloud はクラウド資産の態勢と脅威に特化した防御層です。組織全体のログ相関・調査・自動対応の中枢が必要なら、**Microsoft Sentinel(SIEM/SOAR)**にアラートを取り込み、両者を併用するのが定石です。
設計パターン / ベストプラクティス
- 管理グループのルートで Defender for Cloud を有効化し、配下のサブスクリプション全体へ態勢評価を一括適用する
- 本番ワークロードには対象別の Defender プランを有効化し、サーバー・コンテナー・DB・ストレージなど守るべき面を漏れなくカバーする
- セキュアスコアを KPI として運用し、推奨事項を優先度順に是正していく改善サイクルを回す
- 修復は自動化を活用(Quick Fix・Azure Policy の DeployIfNotExists・Logic Apps ワークフロー)し、人手の是正漏れを減らす
- AWS / GCP はネイティブコネクタで接続し、マルチクラウドを単一ダッシュボードに集約する
- 規制コンプライアンスダッシュボードに自組織が従うべき基準を割り当て、準拠状況を継続監視する
- アラートは Sentinel または既存 SIEM へ転送し、調査・対応プロセスに乗せる
運用・監視
- セキュアスコアの推移を定期レビューし、スコア低下(新規リソースの設定不備など)を早期に検知する
- 高深刻度アラートは即時通知するよう、メール通知やワークフローを構成する
- 推奨事項にオーナーと期限を割り当て、是正の進捗をガバナンスルールで追跡する
- 継続的エクスポートで推奨事項・アラート・スコアを Log Analytics や Event Hubs へ送り、長期保管やダッシュボード化に使う
- 誤検知や対象外リソースは除外(exemption)ルールで整理し、スコアのノイズを抑える
- 新規サブスクリプションには既定で Defender プランが適用されるよう環境設定を統一し、保護の抜けを防ぐ
コスト
CSPM の基本機能は無償、脅威検知や高度機能は有償の Defender プランで、保護対象ごとに課金されます。
| 項目 | 課金の考え方 | 向いている用途 |
|---|---|---|
| 基本 CSPM | 無償(接続するだけで有効) | セキュアスコアと基本推奨事項の可視化 |
| Defender CSPM | 保護リソース数に応じた従量 | 攻撃経路分析などの高度な態勢管理 |
| Defender for Servers | 保護サーバーのノード単位 | VM の脅威検知と脆弱性評価 |
| Defender for Storage | トランザクション量ベース | ストレージへのマルウェア・不審アクセス検知 |
| Defender for Databases | DB インスタンス単位 | SQL や OSS DB への脅威検知 |
全プランを一律に有効化するのではなく、機密度の高いワークロードから段階的に有効化し、無償の CSPM で全体像を掴んでから有償プランを足すと、費用対効果を管理しやすくなります。
セキュリティ
- 最小権限: Defender for Cloud 自体の操作は RBAC で限定し、閲覧者と是正実行者の役割を分離する
- 多層防御の一部として位置づける: 態勢管理(予防)と脅威検知(検知)を、ネットワーク制御や ID 管理と組み合わせる
- マネージド検知ロジックを活用し、Microsoft の脅威インテリジェンスで継続的に更新される検知に乗る
- アラートの真正性確認: 検知の根拠(関連リソース・タイムライン)を確認し、対応の優先度を判断する
- 継続的エクスポートとログ保全で、インシデント調査に必要な証跡を確保する
Defender for Cloud を有効化したまま放置し、推奨事項もアラートも誰も見ていない状態は危険です。セキュアスコアやアラートにオーナーと運用プロセスを割り当てず、通知も自動修復も設定しなければ、可視化されていても是正されません。「見える化」と「是正する仕組み」をセットで設計してください。
Well-Architected の観点
セキュリティの柱に直結するサービスであり、特に次の点で貢献します。
- 態勢の継続評価: セキュアスコアと推奨事項で、設定不備を継続的に検出・是正する文化を支える
- 脅威検知と対応: ワークロードへの攻撃を早期に捉え、Sentinel や自動化ワークフローへ橋渡しする
- ガバナンスの徹底: 規制コンプライアンスダッシュボードと、管理グループ単位の一括適用で統制を効かせる
- 多層防御: 予防(態勢)と検知(脅威)を同一基盤で提供し、運用負荷を抑えつつ網羅性を高める
試験で問われるポイント
- CSPM(態勢管理)と CWPP(ワークロード保護)の役割の違い。前者は設定評価とセキュアスコア、後者は脅威検知アラート
- 基本 CSPM は無償、脅威検知や高度機能は有償の Defender プランという課金境界
- セキュアスコアは推奨事項の達成度を集約した指標で、改善の優先順位づけに使う
- マルチクラウド(AWS / GCP)をネイティブコネクタで接続し、単一ダッシュボードで管理できる
- オンプレや他クラウドのサーバーは Azure Arc で取り込んでから保護を適用する
- Microsoft Sentinel(SIEM/SOAR)との連携で、アラートの相関・調査・自動対応につなげる
- AWS で言えば **Security Hub(態勢・集約)+ GuardDuty(脅威検知)+ Inspector(脆弱性評価)**に相当する位置づけ
関連サービス・比較
Defender for Cloud は、AWS では複数のセキュリティサービスに分かれている役割を1つに束ねています。
| 観点 | Azure | AWS |
|---|---|---|
| 態勢管理・推奨集約 | Defender for Cloud(CSPM) | Security Hub |
| 脅威検知(振る舞い) | Defender for Cloud(CWPP) | GuardDuty |
| 脆弱性評価 | Defender for Cloud の脆弱性スキャン | Inspector |
| SIEM / SOAR | Microsoft Sentinel | Security Lake と外部 SIEM |
| 他環境の取り込み | Azure Arc | エージェント・コネクタ |
| 態勢スコア | セキュアスコア | Security Hub のセキュリティスコア |
AWS では **Security Hub(態勢・集約)/ GuardDuty(脅威検知)/ Inspector(脆弱性評価)**に分かれている機能を、Azure では Defender for Cloud 1つに統合しています。さらに調査・自動対応の中枢には Sentinel(AWS の SIEM 連携に相当)を併用します。
ハンズオン / CLI例
# 現在のサブスクリプションでセキュアスコアを確認
az security secure-scores list -o table
# 各 Defender プランの有効状態を一覧(Free / Standard)
az security pricing list -o table
# サーバー保護(Defender for Servers)を有効化(Standard プランへ切り替え)
az security pricing create --name VirtualMachines --tier Standard
# ストレージ保護を有効化
az security pricing create --name StorageAccounts --tier Standard
# 現在のセキュリティアラートを確認
az security alert list -o table
# セキュリティ連絡先(高深刻度アラートのメール通知先)を設定
az security contact create \
--name default \
--email "soc@example.com" \
--alert-notifications "On" \
--alerts-admins "On"
Azure Service
Microsoft Defender for Cloudを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: Azure / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
サーバーやコンテナー、DB、ストレージへの脅威をリアルタイムに検知してアラート化。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Azure
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「クラウドの設定不備を可視化し、推奨事項とセキュアスコアで継続的に是正する。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。