Microsoft Defender for cloudとは?機能や料金、AWS環境での使い方について解説
Microsoft Defender for cloudは、サイバー攻撃や脆弱性などからクラウド環境を保護することを目的とした、Microsoft Azure上で提供されるソリューションです。本記事では、Microsoft Defender for cloudの概要や機能、料金に加えAWS環境での使用の方法についても詳しく解説します。
この記事の目次
Microsoft Defender for cloudとは
Microsoft Defender for cloudとは、クラウド環境をさまざまな脅威や脆弱性から保護する、Azureが提供するセキュリティサービスです。AzureだけでなくAWS、GCP等の他のクラウドやオンプレミスの環境で使うことができ、マルチクラウドにも対応しています。クラウド環境全体の可視化と継続的なモニタリングによるセキュリティの評価・管理を行い、クラウドリソースを保護するので、運用上のリスクを下げることが可能です。
Microsoft Defender for cloudの機能
Microsoft Defender for cloudは、次の3つの機能が組み合わされています。
DevSecOps
DevSecOpsとは、適切なセキュリティ対策を開発の早い段階から組み込む機能です。開発(development)、セキュリティ(security)、運用(operation)の略で、具体的には、コードの脆弱性スキャン、システム基盤の保護、秘密管理などの作業の自動化を行います。
CSPM(Cloud Security Posture Management)
クラウド環境におけるセキュリティ対策の状況や問題点などを可視化・評価し、トラブルを防ぐためのアクションを提示する機能です。
CWPP(Cloud Workload Protection Platform)
クラウド環境におけるサーバー、コンテナ、ストレージ、データベースなどのリソースに対する脅威を検出し、防御する機能です。
Microsoft Defender for cloudでできること
Microsoft Defender for cloudは有効にすることで具体的に次のようなことができます。
アプリケーションの保護
Azure DevOpsやGitHub、GitLabなどのコード管理環境やコードパイプラインを分析することで、コードの脆弱性やインフラ構成の誤りなどを検知します。これにより実行時だけでなく、開発時からアプリケーションのライフサイクル全体を保護することが可能です。
セキュリティ体制の改善
クラウド、オンプレミス環境全体のセキュリティ体制を可視化し、改善するための提案を行います。主に次のような機能があります。
- セキュリティポリシー、ガバナンスの管理・強化
- セキュリティスコアの算出
- セキュリティ体制の弱点の可視化
- 機密データを含むデータストアの自動検出
- 潜在的なリスクの特定
クラウドワークロードの保護
クラウド環境を構成するサーバー、ストレージ、データベース、コンテナ、インフラストラクチャなどのリソースに対する脅威を検知し、各リソースの推奨事項を提示します。具体的にはワークロードが脅威にさらされた場合、脅威の重大度や性質がセキュリティアラートにより示されるため、ユーザーが適切な対応を計画するために役立ちます。
Microsoft Defender for cloud でAWS環境を保護する方法
先ほど、Microsoft Defender for CloudでAWS環境でも使うことができると述べましたが、具体的な方法は以下の通りです。
1.AWSアカウントをAzureに接続し、Microsoft Defender for CloudをAWS環境に統合する
これにより、AWSリソース全体に対するセキュリティ設定が適用され、包括的な脅威検出とセキュリティ管理が実現します。
2.AWS CloudTrailの設定を行い、APIアクティビティのログを収集して監視する
このログはDefender for Cloudによる脅威の検出に利用され、セキュリティポリシーの適用とコンプライアンス維持に役立ちます。
AWS CloudTrailについては以下の記事をご確認ください。
AWS CloudTrailとは? AWS上の証跡を残す方法を解説|ベアサポートブログ
3.Defender for Endpointと連携する
PCやモバイルなどのエンドポイントデバイスを保護するセキュリティソリューションのDefender for Endpointと連携させることで、クラウドに接続されたすべてのマシンをリアルタイムで保護し、セキュリティの強化ができます。これにより、AWS環境においても一貫したセキュリティ管理が可能です。
Microsoft Defender for cloudの料金
Microsoft Defender for cloudのプランと料金は次のとおりです。
CSPMプラン
先述したセットアップ方法を実行すると「Foundational CSPM」という無料プランが有効になり、無料で次の基本機能が提供されます。
- セキュリティに関する推奨事項の提供
- 資産インベントリの提供
- セキュリティスコア
- Azure Workbooksによるデータの視覚化とレポート
- データのエクスポート
- ワークフローの自動化
- 修復ツールの提供
- Microsoftクラウドセキュリティベンチマークの提供
またAzure Portalから追加で有料の「Defenderクラウドセキュリティ態勢管理(CSPM)」プランを有効にすると、主に次の機能が追加されます。
- VM の脆弱性のエージェントレス スキャン
- シークレットのエージェントレス スキャン
- 攻撃パス分析
- リスクの優先順位付け
- セキュリティ エクスプローラーを使用したリスクハンティング
- 外部攻撃面管理
- アクセス許可の管理 (CIEM)
- 規制コンプライアンスの評価
- ServiceNow の統合
- 重要な資産の保護
- Kubernetes のエージェントレス検出
- コード ツー クラウド コンテナのエージェントレスな脆弱性評価
料金はサーバー、ストレージアカウント、データベースの数に基づき、$0.007/請求対象リソース/時間で算出されます。なお、オンプレミス環境で使用する際は、Foundational CSPM」のみの対応可能なのでご注意ください。(2024年8月現在)
クラウドワークロード保護プラン
クラウドワークロードへの脅威を迅速に検知・対応して保護するには、サーバー、コンテナ、データベース、ストレージ、サービスレイヤーのリソースごとに追加でプランを有効にする必要があります。
各リソースの料金については次のページを参考にしてください。
Azure 「Microsoft Defender for Cloud の価格」https://azure.microsoft.com/ja-jp/pricing/details/defender-for-cloud/ (2024/10/23 確認)
まとめ
Microsoft Defender for cloudは、さまざまな脅威からクラウド環境を包括的に保護するためのプラットフォームです。DevSecOps、CSPM、CWPPの機能を提供することで、クラウドアプリケーションのライフサイクル全体を一貫して保護します。また、AWS環境も含めたAzure以外の環境の保護もでき、マルチクラウドも対応可能です。クラウド環境全体のセキュリティを強化したい方は、Microsoft Defender for cloudの導入を検討されてみてはいかがでしょうか。
