<p><!--META { "title": "Microsoft Defender for Cloudを活用した包括的なクラウドセキュリティ戦略", "primary_category": "クラウド>Azure", "secondary_categories": ["セキュリティ", "IaC"], "tags": ["Microsoft Defender for Cloud", "Azure Policy", "Azure CLI", "Azure Security", "Entra ID", "Just-In-Time VM Access"], "summary": "Microsoft Defender for Cloudのアーキテクチャ、設定、運用、コスト最適化を解説し、包括的なクラウドセキュリティ戦略の確立を支援します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft Defender for Cloudの活用術を解説。クラウドセキュリティ態勢管理 (CSPM) とクラウドワークロード保護 (CWP) を効果的に組み合わせ、セキュリティを強化する実践的な方法を学びましょう。 #Azure #DefenderForCloud #クラウドセキュリティ","hashtags":["#Azure","#DefenderForCloud","#クラウドセキュリティ"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Defender for Cloudを活用した包括的なクラウドセキュリティ戦略</h1> <p>Microsoft Defender for Cloud (MDC) は、クラウドセキュリティ態勢管理 (CSPM) とクラウドワークロード保護 (CWP) を統合し、Azure、ハイブリッド、マルチクラウド環境の包括的なセキュリティを実現します。本記事では、その活用術をアーキテクチャから運用まで解説します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>MDCは、Azureサブスクリプションを基盤として、様々なリソースのセキュリティ状態を評価し、脅威から保護します。セキュリティポリシーの適用、エージェントベースの監視、ネイティブサービスとの統合により、継続的なセキュリティ改善を支援します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD SUB["Azure Subscription"] MDC["Microsoft Defender for Cloud"] LAWS["Log Analytics Workspace"] ENTRAID["Microsoft Entra ID"] AZPOLICY["Azure Policy"] VM["Azure VM / Arc Server"] K8S["Azure Kubernetes Service"] SQL["Azure SQL Database"] APP["App Services"] STORAGE["Storage Accounts"] SUB --|オンボーディング|--> MDC MDC --|セキュリティ評価 (CSPM)|--> SUB MDC --|推奨事項/アラート|--> SECADMIN["セキュリティ管理者"] MDC --|監視/保護 (CWP)|--> LAWS LAWS --|Defender Agent経由でログ収集|--> VM LAWS --|Defender Agent|--> K8S K8S --|コントロールプレーン保護|--> MDC SQL --|データベース保護|--> MDC APP --|APIセキュリティ|--> MDC STORAGE --|ストレージ脅威保護|--> MDC ENTRAID --|ロール割り当て|--> MDC AZPOLICY --|セキュリティ設定強制|--> MDC AZPOLICY --|自動修復/コンプライアンス|--> SUB </pre></div> <p>このアーキテクチャでは、AzureサブスクリプションにオンボードされたMDCが、Log Analytics Workspaceを通じてVMやK8sなどのエージェントベースの保護を実施し、SQL DatabaseやApp Services、Storage Accountsといったネイティブサービスに対しても脅威保護を提供します。Microsoft Entra IDはアクセス制御を担い、Azure Policyはセキュリティ設定の強制とコンプライアンス維持に寄与します。</p> <h2 class="wp-block-heading">設定手順</h2> <p>MDCの利用を開始するには、サブスクリプションまたは管理グループレベルでDefenderプランを有効化します。</p> <ol class="wp-block-list"> <li><strong>Defender for Cloudの有効化</strong>: AzureポータルからDefender for Cloudを開き、[環境設定]で対象のサブスクリプションを選択します。</li> <li><strong>Defenderプランの有効化</strong>: 必要な保護対象（例: Servers, SQL, Storage）のプランを有効化します。</li> </ol> <div class="codehilite"> <pre data-enlighter-language="generic"># Defender for Servers P2 プランをサブスクリプションで有効化する例 # 必要に応じて、他のプラン (containers, sql, storageなど) も有効化 SUBSCRIPTION_ID="<your-subscription-id>" RESOURCE_GROUP="<your-resource-group>" LOCATION="eastus" # Log Analytics Workspaceのリージョン echo "Setting Defender for Servers P2 plan..." az security pricing create \ --name "Servers" \ --tier "Standard" \ --subscription $SUBSCRIPTION_ID echo "Setting Defender for SQL plan..." az security pricing create \ --name "SqlServers" \ --tier "Standard" \ --subscription $SUBSCRIPTION_ID # Log Analytics WorkspaceへのDefenderエージェント自動プロビジョニングを有効にするPolicyの適用 # これはAzure Policyで実施することが推奨されます。 # 例: Azure Policy を使用してLog Analytics Agent を Linux VM にデプロイする # ポリシー定義の参照: /providers/Microsoft.Authorization/policyDefinitions/bf9a135a-4977-4402-a7d5-d7293b495203 # ポリシー割り当ての作成 (既存のリソースグループに適用する場合) echo "Assigning policy for Log Analytics agent auto-provisioning..." az policy assignment create \ --name "Deploy-Log-Analytics-Agent-on-VMs" \ --scope "/subscriptions/$SUBSCRIPTION_ID" \ --policy "/providers/Microsoft.Authorization/policyDefinitions/bf9a135a-4977-4402-a7d5-d7293b495203" \ --display-name "Deploy Log Analytics agent to VMs" \ --params '{ "logAnalyticsWorkspaceResourceGroup": { "value": "'"$RESOURCE_GROUP"'" }, "logAnalyticsWorkspaceName": { "value": "DefaultWorkspace-'$SUBSCRIPTION_ID'" }, "logAnalyticsWorkspaceLocation": { "value": "'"$LOCATION"'" } }' </pre> </div> <h2 class="wp-block-heading">運用監視</h2> <p>MDCは継続的なセキュリティ監視とアラート機能を提供します。</p> <ul class="wp-block-list"> <li><strong>可観測性</strong>: MDCのダッシュボード、セキュリティスコア、インベントリ機能を利用して、現在のセキュリティ状態を可視化します。Azure MonitorやLog Analyticsと統合し、詳細なログ分析やカスタムアラートを設定できます。Azure Sentinel (Microsoft Sentinel) と連携することで、SIEM/SOARとしてインシデント管理を統合します。</li> <li><strong>ログ</strong>: MDCが生成するセキュリティアラートや推奨事項のログは、Log Analytics Workspaceに格納されます。診断設定を構成し、これらのログをAzure StorageアカウントやEvent Hubs、またはMicrosoft Sentinelに転送して長期保存や詳細分析を行います。</li> <li><strong>SLA/バックアップ/DR</strong>: MDC自体はSLA対象外ですが、MDCによって保護される基盤となるAzureサービスはSLAによって可用性が保証されます。MDCはリソースのバックアップ設定やDR計画のセキュリティ状態（例: Azure Backupの推奨事項）を評価し、改善を促します。</li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <h3 class="wp-block-heading">アイデンティティと権限境界</h3> <ul class="wp-block-list"> <li><strong>Microsoft Entra ID</strong>: MDCへのアクセスはMicrosoft Entra IDで管理されます。最小権限の原則に基づき、以下の組み込みロールを適切に割り当てます。 <ul> <li><code>Security Admin</code>: MDCのセキュリティポリシーや設定を管理。</li> <li><code>Security Reader</code>: セキュリティ推奨事項、アラート、スコアを閲覧。</li> <li><code>Resource Policy Contributor</code>: Azure Policyの定義と割り当てを管理し、MDCの推奨事項を適用。</li> </ul></li> <li><strong>条件付きアクセス (CA)</strong>: MDCポータルへのアクセスに多要素認証 (MFA) やデバイスコンプライアンスなどの条件を強制します。</li> <li><strong>Just-In-Time (JIT) VM アクセス</strong>: MDCの機能として、Azure VMの管理ポート (SSH, RDP) へのアクセスを必要な期間とIPアドレスに限定し、攻撃対象領域を大幅に縮小します。これはDefender for Serversプランに含まれます。</li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>MDCのコストは、有効化されたDefenderプランと保護対象リソースの種類および数量に基づいて発生します。</p> <ul class="wp-block-list"> <li><strong>Defenderプランのライセンス</strong>: 例えば、Defender for ServersはvCPU数、Defender for SQLはDBの種類とvCore数、Defender for Storageはトランザクション数やデータ量によって課金されます。</li> <li><strong>Log Analytics</strong>: エージェントから収集されるログの量と保持期間に応じて課金されます。</li> </ul> <h3 class="wp-block-heading">コスト最適化</h3> <ul class="wp-block-list"> <li><strong>プランの選択</strong>: 必要な保護機能に応じて、適切なDefenderプランのみを有効化します。例えば、VMはDefender for Servers P2で高度な脅威保護を得られますが、基本機能で十分な場合は無料のCSPM機能に限定することも検討します。</li> <li><strong>スコープの最適化</strong>: Defenderプランをサブスクリプション全体ではなく、特定のリソースグループや個々のリソースに限定して適用することで、コストを削減できます。ただし、セキュリティカバレッジが狭まるリスクを評価する必要があります。</li> <li><strong>Log Analyticsのデータ保持期間</strong>: 不必要なログの長期保持を避け、データ保持期間を最適化します。コンプライアンス要件に応じて設定します。</li> <li><strong>リザーブドキャパシティ</strong>: Log Analytics Workspaceでリザーブドキャパシティを利用することで、大量のデータインジェストコストを削減できる場合があります。</li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <ul class="wp-block-list"> <li><strong>過剰なアラートとノイズ</strong>: 初期設定では多くのアラートが生成され、真の脅威を見落とす可能性があります。適切な除外ルールや推奨事項のチューニングが必要です。</li> <li><strong>エージェント展開漏れ</strong>: Defenderエージェントの展開が不完全な場合、保護対象外のリソースが発生します。Azure Policyによる自動プロビジョニングを活用し、カバレッジを確保します。</li> <li><strong>権限の過不足</strong>: Defender for Cloudを運用するための適切なAzure RBACロールが割り当てられていない、または過剰な権限が付与されているケース。定期的な権限レビューが不可欠です。</li> <li><strong>コストの予期せぬ増大</strong>: 新しいDefenderプランを有効にする際や、リソースの追加時にコスト影響を事前に評価しなかった場合、予期せぬ費用が発生することがあります。</li> <li><strong>推奨事項の放置</strong>: MDCが提供するセキュリティ推奨事項は、実際に適用しなければ効果を発揮しません。定期的なレビューと改善活動の実施体制が必要です。</li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Microsoft Defender for Cloudは、多層防御と継続的なセキュリティ監視を提供する強力なプラットフォームです。アーキテクチャの理解、適切な設定、そして継続的な運用監視を通じて、クラウド環境のセキュリティ態勢を強化し、脅威からビジネスを守ることが可能です。コストとセキュリティのバランスを取りながら、組織のニーズに合わせた最適な活用を推奨します。</p>

flowchart TD
    SUB["Azure Subscription"]
    MDC["Microsoft Defender for Cloud"]
    LAWS["Log Analytics Workspace"]
    ENTRAID["Microsoft Entra ID"]
    AZPOLICY["Azure Policy"]
    VM["Azure VM / Arc Server"]
    K8S["Azure Kubernetes Service"]
    SQL["Azure SQL Database"]
    APP["App Services"]
    STORAGE["Storage Accounts"]

    SUB --|オンボーディング|--> MDC
    MDC --|セキュリティ評価 (CSPM)|--> SUB
    MDC --|推奨事項/アラート|--> SECADMIN["セキュリティ管理者"]
    MDC --|監視/保護 (CWP)|--> LAWS
    LAWS --|Defender Agent経由でログ収集|--> VM
    LAWS --|Defender Agent|--> K8S
    K8S --|コントロールプレーン保護|--> MDC
    SQL --|データベース保護|--> MDC
    APP --|APIセキュリティ|--> MDC
    STORAGE --|ストレージ脅威保護|--> MDC

    ENTRAID --|ロール割り当て|--> MDC
    AZPOLICY --|セキュリティ設定強制|--> MDC
    AZPOLICY --|自動修復/コンプライアンス|--> SUB

# Defender for Servers P2 プランをサブスクリプションで有効化する例
# 必要に応じて、他のプラン (containers, sql, storageなど) も有効化
SUBSCRIPTION_ID="<your-subscription-id>"
RESOURCE_GROUP="<your-resource-group>"
LOCATION="eastus" # Log Analytics Workspaceのリージョン

echo "Setting Defender for Servers P2 plan..."
az security pricing create \
  --name "Servers" \
  --tier "Standard" \
  --subscription $SUBSCRIPTION_ID

echo "Setting Defender for SQL plan..."
az security pricing create \
  --name "SqlServers" \
  --tier "Standard" \
  --subscription $SUBSCRIPTION_ID

# Log Analytics WorkspaceへのDefenderエージェント自動プロビジョニングを有効にするPolicyの適用
# これはAzure Policyで実施することが推奨されます。
# 例: Azure Policy を使用してLog Analytics Agent を Linux VM にデプロイする
# ポリシー定義の参照: /providers/Microsoft.Authorization/policyDefinitions/bf9a135a-4977-4402-a7d5-d7293b495203
# ポリシー割り当ての作成 (既存のリソースグループに適用する場合)
echo "Assigning policy for Log Analytics agent auto-provisioning..."
az policy assignment create \
  --name "Deploy-Log-Analytics-Agent-on-VMs" \
  --scope "/subscriptions/$SUBSCRIPTION_ID" \
  --policy "/providers/Microsoft.Authorization/policyDefinitions/bf9a135a-4977-4402-a7d5-d7293b495203" \
  --display-name "Deploy Log Analytics agent to VMs" \
  --params '{ "logAnalyticsWorkspaceResourceGroup": { "value": "'"$RESOURCE_GROUP"'" }, "logAnalyticsWorkspaceName": { "value": "DefaultWorkspace-'$SUBSCRIPTION_ID'" }, "logAnalyticsWorkspaceLocation": { "value": "'"$LOCATION"'" } }'