Go to Qiita Advent Calendar 2024 Top
LoginSignup
5
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@nukosan(Fujita-ITに少し詳しいアザラシ)

Microsoft Defender for Cloud セキュリティ態勢管理(CSPM) とは

Last updated at Posted at 2023-12-16

はじめに

Microsoft Top Partner Engineer's Advent Calender 2023 の Security パートを担当させていただきます!そして今回、Qiita による記事投稿が初めてとなります。温かい目で見守っていただけると幸いです…!

今回のテーマ

本記事では、Microsoft Defender for Cloud の機能の中で、無料で利用可能な機能があるセキュリティ態勢管理(Cloud Security Posture Management)に焦点を当てて解説します。(一部有料機能有)
幅広くセキュリティ対策が出来るサービスのため、今後も他機能の紹介も行っていきます。

目次

  • セキュリティ態勢管理(Cloud Security Posture Management)とは?
  • Microsoft Defender for Cloud とは?
  • Microsoft Defender for Cloud プラン紹介
  • Microsoft Defender for Cloud CSPM 機能が出来ること
  • Microsoft Defender for Cloud CSPM 設計ポイント

Microsoft Defender for Cloud のもう一つの主要機能であるクラウドワークロード保護(Cloud Workload Protetion)に関しては、本記事で取り扱いません。予めご了承ください。

セキュリティ態勢管理(Cloud Security Posture Management)とは?

端的にセキュリティ態勢管理を説明すると、クラウド上のリソースの構成情報を監視し、定められたセキュリティベースラインに基づいて検出したセキュリティの脅威についての実施手順の提案や自動修復を行うものです。

一般的には、管理画面上でベースラインに対する、各リソースの準拠状況(準拠/非準拠)を表示する(Visualize)まで行います。

また、定義された一つ一つのセキュリティポリシーの重要度レベルに応じて、セキュリティ担当者へアラートとして通知を行うことで、推奨の対応手順(Remediation) の実施を促すといったことも可能です。

このように、各リソースのセキュリティ状態の継続的な監視およびセキュリティのベースラインに対する準拠状況に応じて、セキュリティ運用者へ対応を促します。
該当するクラウドワークロードのセキュリティ態勢を築いていくために重要な概念であり、セキュリティ態勢管理というネーミングは、このような背景からきています。

Microsoft Defender for Cloud とは?

ここからMicrosoft Defender for Cloud について簡易的に解説します。

Microsoft Defender for Cloud とは、従来まで Azure Security CenterAzure Defender とよばれていたサービスが、2021年に一つのセキュリティサービスとして統合され、名称変更されたサービスです。Azure Security Center が担っていた機能が、セキュリティ態勢管理(CSPM)であり、Azure Defender が担っていた機能は、クラウドワークロード保護(CWP)と呼びます。よって、一般的な CSPM (と CWP※今回は省略 )の機能を持つサービスとなっています。

  • CSPM ( Cloud Security Posture Management )
  • CWP ( Cloud Workload Protection )

image-42.png

Microsoft Defender for Cloud プラン紹介

Microsoft Defender for Cloud > 環境保護 より、各プランの有効化が行えます。

本記事にてご紹介する セキュリティ態勢管理に該当するプランは、「Microsoft Defender for Foundational CSPM」と「Microsoft Defender for Defender CSPM」となります。

今回説明を省いていますが、CWP 機能は、様々な Azure サービスに適用できるよう幅広いプランが提供されています。

  • Microsoft Defender for Foundational CSPM
  • Microsoft Defender for Defender CSPM
  • Microsoft Defender for Servers
  • Microsoft Defender for App Service
  • Microsoft Defender for Database
  • Microsoft Defender for Storage
  • Microsoft Defender for Containers
  • Microsoft Defender for Key Vault
  • Microsoft Defender for Resource Manager
  • Microsoft Defender for API

サブスクリプションを押下すると次のようにプランが表示されます。

image-44.png

image-45.png

Defender CSPMは、料金が別途発生いたしますので、有効化する際はご注意ください。発生するコストを(2023/12/16時点)を記載します。決して安くはありませんので、導入前に課金に影響するリソースがどの程度あるかの見積を頂くことをお勧めします。
Microsoft Defender CSPM はすべてのマルチクラウド ワークロードで保護されますが、課金はコンピューティング、データベース、ストレージ リソースにのみ適用されます。課金対象のワークロードは、VM、ストレージ アカウント、OSS DB、およびマシン上の SQL PaaS & サーバーです。請求は 2023 年 8 月 1 日に開始されます。

image-46.png

各プランの 詳細 > リンクを押下すると、機能概要を見ることが出来ます。
image-47.png

image-43.png

【注意事項】
「はじめに」からアップグレードを押下すると、全ての有料プランが有効化されますので、予めお気を付けください。
image.png

Microsoft Defender for Cloud CSPM 機能が出来ること

CSPM機能に関する重要な機能(太字部分)に抜粋してご説明をします。(以下URL参照)

  • Foundation CSPM
    • セキュリティに関する推奨事項
    • セキュリティ スコア
    • 資産インベントリ
    • Azure Workbooks を使用したデータの視覚化とレポート
    • データのエクスポート
    • ワークフローの自動化
    • 修復のためのツール
    • Microsoft クラウド セキュリティ ベンチマーク
  • Defender CSPM
    • セキュリティ ガバナンス
    • 規制コンプライアンス標準
    • クラウド セキュリティ エクスプローラー
    • 攻撃パス分析
    • マシンのエージェントレス スキャン
    • Kubernetes のエージェントレス検出
    • コンテナー レジストリの脆弱性評価 (レジストリ スキャンを含む)
    • データ対応セキュリティ態勢
    • ネットワーク露出の EASM 分析情報

セキュリティに関する推奨事項&セキュリティ スコア

推奨事項」の画面

  • 推奨事項およびセキュリティ スコアは、推奨事項の画面でまとめて閲覧が可能です。

image-48.png

セキュリティスコアの推奨事項

image-5.png

すべての推奨事項

image-6.png

推奨事項をクリックすることで、概要、修復の手順、影響を受けるリソースを閲覧できます。手順に従い対応を行うことで、脅威に対する対策を実施できます。
image.png

担当者への割り当て(Create Assignment)を行って、セキュリティ担当者へメール通知が出来ますが、上記を見ると非活性化されています。2023 年 1 月 1 日以降、該当機能が有料プランへ移行しています。もし使用されたい場合、有料プランの検討が必要になります。

「修正」から推奨事項の対応が出来る場合もあります。
image.png

「ロジックアプリのトリガー」からカスタムのロジックアプリを手動で実行することなどが可能です。

「適用除外」から推奨事項の適用対象から除外することもできます。
image.png

image.png

裏側では、Azure Policy が適用されているため、スコープから外した一つ一つのセキュリティポリシーは、「Azure Policy > 適用除外」 から閲覧できます。
image.png

インベントリ

次は、「インベントリ」です。
ここでは、サブスクリプションが持つ資産(リソース)の一覧表示とリソースの推奨事項やアラートなどを閲覧できます。
image.png
image.png

Microsoft クラウド セキュリティ ベンチマーク (MCSB)

Microsoft Defender for Cloud の推奨事項は、スコープ内のリソースに対して、Microsoft クラウド セキュリティ ベンチマーク (MCSB) の評価を行った結果が表示されます。
Microsoft Defender for Cloud の使用を開始すると Azure Policy のイニシアティブとして自動で適用されます。以下のASC Default が適用されています。

image.png

ガバナンスルール

続いて有料プランである、「Defender CSPM」を有効化します。「環境設定 > Defender プラン」から対象の状態を「オン」にして保存を押下します。
image.png

先ほど非活性化されていた担当者のアサイン(Create Assing)が活性化されました。
image.png
ここでは、推奨事項の所有者を定義し、定められた頻度で通知をすることが可能になります。
image.png
image.png

これらをガバナンスルールとして管理できるのが以下の「セキュリティ ガバナンス」です。

修復期間やどの重要度を通知対象とするかの定義などが可能です。
image.png
2023年12月現在、頻度等をカスタムする機能は実装されておらず、頻度は 「毎週」 のみとなっています。
image.png

規制コンプライアンス

「規制コンプライアンス」では、各セキュリティベンチマークに対するコンプライアンスの適用状況をチェックできます。
image.png
また、レポートをダウンロードすることもできます。
image.png
PDFファイルでの出力が行われます。
image.png

これらのセキュリティベンチマークの適用は、「環境設定 > セキュリティポリシー」から実施できます。
image.png

各規制コンプライアンスのポリシー1つ1つのルールも閲覧できます。
image.png

クラウド セキュリティ エクスプローラー

クラウド セキュリティ エクスプローラー」からは、クラウド環境内のセキュリティリスクを特定する場合に有益です。
image.png

まだまだ書けることがあるのですが、ここまでにしたいと思います。

Microsoft Defender for Cloud CSPM 設計ポイント

各利用者によって前提が異なりますので、あまり深入りせずどのような観点を定めればよいかを記載したいと思います。まず、観点をリストしてみました。

  • セキュリティ態勢管理の目的
  • なぜ Microsoft Defender for Cloud を利用するのか
  • Microsoft Defender for Cloud の適用スコープ
  • 監視対応とするリソース
  • 規制コンプライアンス
  • 通知設定
  • セキュリティ運用(CSPM)体制
  • 非準拠リソースの対応方針

セキュリティ態勢管理の目的

なぜセキュリティ態勢管理(CSPM)を行うのか、これらの目的を定めましょう。最初からプロジェクトとして方向性がやる方向に定まっていることもあれば、そうでないケースもあるかと思います。CSPMの導入にあたって、CSPMの理解を深めクライアントへ提案や自社で利用する際の理由付けとして、機能的なメリットやデメリット(コストが発生するなど)の説明は必ず必要になるのではないでしょうか。

なぜMicrosoft Defender for Cloudを利用するのか

これはプロジェクト背景(例えば、Azureを使っているから)だったり、他製品との比較を行った結果、なぜ、Microsoft Defender for Cloudを利用するかの理由付けも必要だと思います。
サービスを選択をした理由もセットで答えられるエンジニアの市場価値は最強です!!!

Microsoft Defender for Cloud の適用スコープ

サブスクリプションの内、どれを対象にするかの定義です。当たり前ですが、どのサブスクリプションを保護するのかを定義しましょう。今回説明から省きましたが、マルチクラウド(AWS/GCP)も対応していますので、次のステップとして、適用スコープを広げていくこともできます。

監視対応とするリソース

冒頭申し上げた通り、保護リソースに応じて課金が発生いたします。予め、どのリソースがいくつあり、それによって発生する課金額を見積もったうえで正しく監視を行いましょう。

規制コンプライアンス

規制コンプライアンスでは、次のような

  • CIS Microsoft Azure Foundations Benchmark v2.0.0
  • NIST SP 800-171 Rev. 5
  • PCI-DSS v4.0

の一般的なコンプライアンスフレームワークの適用が可能です。
該当するプロジェクト等でどの業界標準の規制コンプライアンスを適用すべきか、また、最初からコンプライアンスをすべて適用するのか、段階を踏んで適用を行っていくべきか等を検討する必要があります。この後のセキュリティ運用体制にもつながりますね。

通知設定

ガバナンスルールからの通知先や通知レベルの定義も設計に組み込む必要があります。セキュリティを常に監視するため、担当者が運用しやすい仕組み作りがポイントだと思います。

セキュリティ運用(CSPM)体制

予め規制コンプライアンスの内、対応が求められる内容を把握して、セキュリティ運用をする体制が整っているのか?と正しくチェックしておかないと、後々運用がパンクしてしまう可能性も有ります。こちらも十分な検討が必要と思います。

非準拠リソースの対応方針

原則、規制コンプライアンスに従いセキュリティの改善を行う方針としつつも、実施できないものやリスクを受容して対応しないと判断されるケースもあるかと思います。その場合の対応者や何に基づいてその判断を下すのか、その運用フローも検討されると、設計者は喜ばれると思います。あの人の設計のせいで運用が大変だった!!!と言われないように・・・、私も気を付けて日々設計しようと心掛けています。

終わりに

ということで、Microsoft Defender for Cloud の振り返りも兼ねて主要な機能を振り返ってみました。

自らの知識の整理にもつながり良かったと同時にこのサービスを利用される方の一助になれば幸いです!最後までご覧いただきありがとうございました!!!

5
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?