クラウド時代のセキュリティ強化を実現する!
Microsoft Defender for Cloud とは?
~概要、メリット、コストを解説~
こんにちは、日商エレクトロニクスの鈴木です。
クラウド上でのセキュリティインシデントの99%はユーザー側による設定ミスに起因すると言われています。
Azure、AWS、GCPを併用している企業様も多くいらっしゃるかと思いますが、自社のクラウド環境はきちんと管理できているでしょうか。
オンプレミスと複数のクラウド環境を一括で監視、構成ミスやリスクを検知することができれば今後も安心してクラウド活用ができますよね。
今回は、それを実現する「Microsoft Defender for Cloud」について解説していきます。
1. クラウドにおいて必要なセキュリティ対策とは
まずは、クラウド時代に必要なセキュリティ対策についておさらいしましょう。
クラウド利用が一般的になってきた今日、オンプレミスを基準としたこれまでのセキュリティ対策に加えて下記の3つの分野が重要になってきています。
- 構成ミスの特定
環境構築が比較的簡易的なクラウドですが、その手軽さゆえにポート制御等の設定ミスやサービスに対する知識不足による構成の誤りがインシデント発生の大きな要因になっています - 形態の違うシステムの保護
クラウドではIaaS、PaaS、コンテナーなど様々な形態のシステムが稼働できるため、それぞれの保護を網羅する必要があります。 - IDの保護
情報システム部だけでなく開発エンジニアや事業部のメンバーのクラウド利用も進む中で、ID・ユーザの保護がさらに重要になってきています。
これらを実現するために近年注目されているのが、クラウドの設定ミスを防止する「CSPM (Cloud Security Posture Management)」と複数のクラウドサービスを一元的に監視、保護する「CWPP (Cloud Workload Protection Platform)」です。
2. Microsoft Defender for Cloudとは?
Microsoft Defender for Cloudは、そのCSPMとCWPPをAzure上で提供するセキュリティサービスです。
2021年に「Azure Security Center」と「Azure Defender」が名称を変更して「Microsoft Defender for Cloud」となりました。
Defender for Cloud のCSPM
:
クラウドの設定ミスを防止します。具体的には、コンプライアンス評価、リスク特定、運用監視、ポリシー強制、DevSecOpsとの統合、脅威からの保護などが実現できます。
Defender for Cloud のCWPP
:
脅威に対する検査と対処ができます。具体的には、脆弱性スキャンによる脆弱性管理やファイル改ざん検知、アプリケーション制御、サーバーのハーデニングなどが実現できます。
一言でいうと、アンチウィルスやEDRのIaaS版、と言えるでしょう。PaaSについては、防御壁をかぶせる事ができます。
Defender for Cloud の導入タイミング
既存環境に影響は及ぼさないのでいつでも導入できます。
そもそも0から作りたいときもOKですし、環境出来てしまってからでもOKです。
Defender for Cloud の導入メリット
Defender for Cloudにより、クラウドセキュリティにおける3つのニーズを満たしていただけます。
- 複数環境のセキュリティ評価
他パブリッククラウドやオンプレミスを含むプラットフォームにおいて、セキュリティ能勢を評価、リスクのある部分やセキュリティ強化ポイントを提示します。 - 既知の脅威からの保護
AzureセキュリティベンチマークとAWSのベストプラクティスに基づいてリソースやサービスを既知の脅威から保護します。 - 未知の脅威への対策
AI を組み合わせてアラートを分析し、新たな攻撃パターンの発生を検知します。
Defender for Cloudを導入することで、オンプレミス・クラウドすべてにおいてインシデントを未然に防ぐことから、リスク発生時の迅速な対応までを実現できるのです。
また、オンプレミスのセキュリティツールでは不足している部分を他のサービスで補填している、という企業様も多いかと思いますが、それにより余計に発生するコストを削減できるというメリットも享受できます。
実際に、Defender for Cloud利用中の企業からは下記の様な評価を受けています。(Forrester社のA FORRESTER TOTAL ECONOMIC IMPACT™ レポートによる)
- クラウド ワークロードに対するセキュリティ侵害のリスクを最大25%削減
- クラウドの脅威緩和までの時間を50%短縮
- セキュリティ ポリシーとコンプライアンス関連のワークロードを最大30%迅速化
- サードパーティのセキュリティ ツールやサービスへの支出を年間20万ドル以上削減
Defender for Cloud の保護対象
あらためて保護対象を整理すると、下記となります。
- Azure IaaS
- Azure PaaS
- Azure ネットワーク
- AWS
- GCP
- オンプレミスのワークロード
3. Defender for Cloud 利用にかかるコスト
Defender for Cloudでかかる費用は、「強化されたセキュリティ機能」の OFF と ON によって変わります。
強化されたセキュリティ機能OFFの場合→無償
強化されたセキュリティ機能を利用しない場合、無償で使えます。
この際ライセンス購入などは不要で、Azure PortalでDefender for Cloud を有効にすることでAzureサブスクリプション全体で有効になります。
無償で利用できる機能は下記です。
- Azure リソースの保護に役立つセキュリティ スコア
組織全体のセキュリティの状態を可視化するための数値指標に基づいてスコア付けされます。組織内のリスクの特定に利用できます。 - セキュリティポリシーの管理
「展開を許可するリソースの種類の制御」や、「すべてのリソースでのタグ使用の強制」など要件に従ったポリシーの作成と、準拠していないリソースへの強制適用ができます。 - 基本的な推奨事項の提示
ポリシーを使用してリソースのコンプライアンスステータスを定期的に分析し、潜在的なセキュリティリスクを特定します。さらに、それらの問題を修正するための推奨事項が提示されます。
提示される推奨事項 >
また、Play bookやLogic Appを活用すれば、リスク検知後の自動対応を実装することも可能です。(Aというリスクが出たらTeamsに発砲する→人をアサインする…等)
強化されたセキュリティ機能ONの場合→有償
有償のライセンス購入が必要です。
強化したいリソースやレベルごとに価格が分かれています。
| 項目 | 価格 |
|---|---|
| Microsoft Defender for Servers プラン 1 | ¥0.902/サーバー/時間 |
| Microsoft Defender for Servers プラン 2 | ¥2.685/サーバー/時間(含まれるデータ – 500 MB/日) |
| Microsoft Defender for Containers | ¥1.2631/仮想コア/時間 |
| Azure に接続されたデータベース上の Microsoft Defender for SQL | ¥2.759/インスタンス/時間 |
| Azure 外の Microsoft Defender for SQL | ¥2.014/仮想コア/時間 |
| Microsoft Defender for MySQL | ¥2,013.376 インスタンス/月 |
| Microsoft Defender for PostgreSQL | ¥2,013.376 インスタンス/月 |
| Microsoft Defender for MariaDB | ¥2.712/インスタンス/時間 |
| Microsoft Defender for Azure Cosmos DB5, 6 | 100 RU/時間あたりの ¥0.1611 |
| Microsoft Defender for Storage1 | ストレージ アカウント 1 時間あたり ¥1.79877 |
| Microsoft Defender for App Service | ¥2.685/App Service/時間 |
| Microsoft Defender for Key Vault | ¥2.69/10000 件のトランザクション |
| Microsoft Defender for ARM | ¥536.901/1M API 呼び出し |
ONにすると利用できる主な機能は下記です。
- 規制コンプライアンスダッシュボード
PCIDSSなど準拠すべき基準に対して、自社の環境はどこまで網羅できているのかの確認、準拠していないリスクはどうするのか検討することができます。
※Center for Internet Security (CIS)、PCI-DSS、National Institute of Standards and Technology (NIST) のコントロールに基づいたMicrosoft クラウド セキュリティ ベンチマークは、無償で自動適用されます。 - AWS アカウント、GCP アカウントとの接続
AWS や GCP のプラットフォームのセキュリティ構成情報を取得し、Defender for Cloud の分析エンジンで評価することができます。しかも、API接続するため、追加コンポーネントを用意せずに接続できます。 - ハイブリッドセキュリティ
オンプレミスのワークロードのセキュリティを統合管理が可能です。ファイアウォールやその他のパートナー ソリューションなど、さまざまなソースからセキュリティ データを収集、検索、分析できます。 - 脅威防止アラート
高度な行動分析と Microsoft インテリジェント セキュリティ グラフを使用して、巧妙化するサイバー攻撃に対応します。
組み込みの行動分析と機械学習により、各種攻撃やゼロデイ攻撃を特定することができます。
プランごとの特徴的な機能を下記にまとめてみました。
Defender for Server Plan1に含まれる機能
詳細:Defender for Servers プランを選択する >
- Defender for Endpoint
Defender for Cloud Plan1には、MicrosoftのEDRであるDefender for Endpoint が含まれます。サーバーもサポートしており、LinuxとWindows に対応しています。 - 仮想マシンの脆弱性評価
3rd-partyや外部の脅威をまとめているサイトと紐づけて、ソフトウェアの脅威を図式化できます。
Defender for Endpointの画面で脆弱性評価できますので、すでにDefender for Endpointをご利用中の際は一括管理が可能になります。
Defender for Server Plan2に含まれる機能
- Qualysによる 脆弱性評価
仮想マシンの脆弱性評価に、Qualysを選択することができます。 - Just-In-Time VM アクセス
時限的にポートを閉じる、などの制御ができます。外部からの攻撃のリスクがあるが、管理上RDPやSSHを開けないといけない…という場合、利用しない時間は自動的に閉じることができるため安全性が向上します。 - アダプティブ ネットワークのセキュリティ強化機能
必要なNSGルールを推奨してくれます。実際のトラフィック パターンに基づいて NSG ルールを強化することで、セキュリティをさらに向上できます。 - ファイルの整合性の監視
OSファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システムファイルなどを対象に、攻撃の兆候となる変更を監視します。ファイル改ざんをいち早く検知できます。 - ネットワークマップ
Azure のネットワークのトポロジーを表示し、仮想ネットワーク、サブネット、ノードのセキュリティ状態や疎通を一元的に可視化します。(=どことどこがつながっていて、どこのポートが空いているのか?がわかります。)
「!」がついている部分にはセキュリティリスクがある、など一目でリスクを把握できます。
Defender for SQLに含まれる機能
詳細:Microsoft Defender for Azure SQL の概要 >
高権限で深い操作がいつもと異なるパターンで行われた際、異常を検知しアラート上げます。
外部からの攻撃はWAFで防止できますが、Defender for Cloudでは内部の管理ポートやAPIをつかって攻撃されていることを検知することができます。
- 脆弱性評価
誤った設定、過剰なアクセス許可を検知
Defender for Storageに含まれる機能
詳細:Microsoft Defender for Storage の概要 >
ストレージに対する有害な可能性のある不自然なアクティビティの検出と、ファイル自身のスキャンができます。BLOBやDatalakeなどをサポートしています。
Defender for Key Vaultに含まれる機能
詳細:Microsoft Defender for Key Vaultの概要
Key Vault アカウントへのアクセスまたは悪用を目的とした、異常で有害な可能性のある試みを検出します。
Defender for App Serviceに含まれる機能
詳細:Azure App Service Web アプリと API を保護する Defender for App Service の概要 >
他のサービスと同じように、多数の脅威を検出、異常なアクセスをブロックします。現在使われていないDNSレコードを悪用した検知なども可能です。
ちなみに、最初の 30 日間は有償機能も含め無料で利用できますので、試してみたい場合はぜひすべての機能を使ってみてくださいね。
4.最後に
Defender for Cloudは様々なワークロードのセキュリティを一括で管理できます。
ただし、Defender for Cloudのアラートや推奨事項をそのまま実行すれば良いかと言われると、実はそうでもありません。Azureの設計や今後の活用計画次第ではあまり重要でない推奨事項が出るということもよくあります。
つまり、判断の基準としてとても有効にお使いいただけますが、より環境にマッチした対応を行うためには、Azureやクラウドに対する知識が必要です。
日商エレクトロニクスでは、クラウドサポートサービスをご契約いただいたお客様へ向けて、定期的にDefender for Cloudを用いた「Azure利用状況報告会」を実施しています。
クラウドサポートDefender for Cloudだけでは難しいお客様の状況に応じた推奨事項の重要度判断や、Azureサービスのリソース状況の整理を行うため、現状の使用状況の改善やさらなる活用を実現していただけます。(Azure環境の健康診断を行う感覚です。)
Azure利用をご検討されている際はぜひご相談いただけますと幸いです。
今後もAzureに関する情報を発信していきますのでどうぞよろしくお願いいたします。
この記事を書いた人
-
マーケティング担当の鈴木です。
VDIやDataAI製品を中心に、セミナー、ブログ、メルマガなどで情報を発信しています!
よろしくお願いいたします_(._.)_