// シス担のミカタ
クラウドセキュリティ

Microsoft Defender for Cloud まいくろそふと でぃふぇんだー ふぉー くらうど

クラウドセキュリティCSPMCWPAzure脆弱性管理ゼロトラスト
Microsoft Defender for Cloudについて教えて

簡単に言うとこんな感じ!

クラウド上のシステムを「24時間パトロールしてくれる警備員」だよ!設定のミスや危険な状態を自動で見つけて「ここ直してね!」と教えてくれる、Azure中心のセキュリティ管理サービスなんだ。

Microsoft Defender for Cloudとは

Microsoft Defender for Cloud(旧称:Azure Security Center / Azure Defender)は、Microsoftが提供するクラウド向けの統合セキュリティ管理サービスです。クラウド上のリソース(サーバー・データベース・コンテナなど)の設定状況を継続的に監視し、リスクのある箇所を検出・通知・修復支援する機能を持ちます。

大きく2つの柱があります。ひとつはCSPM(Cloud Security Posture Management):クラウド環境の設定が「セキュリティ的に正しいか」をチェックし、スコアで可視化する機能。もうひとつはCWP(Cloud Workload Protection):実際に動いているサーバーやコンテナへの攻撃をリアルタイムで検出・防御する機能です。

Azure環境はもちろん、AWS・Google Cloud(マルチクラウド や、オンプレミス(社内サーバー)にも対応しており、複数環境を一元管理できる点が大きな特徴です。システム発注・選定の立場からは「クラウドを使い始めたら最初に有効化を検討すべきセキュリティの基盤」と理解しておくと実務に役立ちます。

Defender for Cloudの主な機能構成

機能カテゴリ英語名できること
セキュリティスコアSecure Score設定の安全度を0〜100点で数値化
推奨事項Recommendations「この設定を直せばリスク低減」と具体的に提示
ワークロード保護Workload Protectionsサーバー・DB・コンテナへの攻撃検知
規制コンプライアンスRegulatory CompliancePCI DSS・ISO 27001などへの準拠状況を自動チェック
クラウドセキュリティグラフCloud Security Graphリソース間の攻撃経路を可視化
マルチクラウド対応Multi-cloudAzure / AWS / GCP を一元管理

セキュアスコアの見方

セキュアスコア(Secure Score) は、クラウド環境全体のセキュリティ健全度を0〜100点で示す指標です。点数が低い項目には「推奨事項」として具体的な修正手順が提示されるため、ITの専門家でなくても「何から手をつければよいか」が分かりやすくなっています。

セキュアスコアのイメージ
┌─────────────────────────────────┐
│  セキュアスコア: 72 / 100       │
│  ████████████████░░░░░░  72%    │
│                                 │
│  改善が必要な推奨事項: 14件     │
│  ┣ 高優先度: 3件(すぐ対応を) │
│  ┣ 中優先度: 7件               │
│  └ 低優先度: 4件               │
└─────────────────────────────────┘

対応するクラウド・環境

  • Microsoft Azure(ネイティブ対応・最も機能が充実)
  • Amazon Web Services(AWS)(Connector経由で接続)
  • Google Cloud Platform(GCP)(Connector経由で接続)
  • オンプレミス(Azure Arc経由でサーバーを登録)

歴史と背景

  • 2017年 — 「Azure Security Center」として提供開始。Azure環境の設定監視・脅威検出が主な機能
  • 2020年 — 「Azure Defender」を追加し、ワークロード保護(CWP)機能を強化。Security CenterとDefenderの2ブランド体制に
  • 2021年11月 — 両サービスを統合し「Microsoft Defender for Cloud」に改称。名称が統一されブランドが整理される
  • 2022年 — マルチクラウド対応を本格強化。AWS・GCPへの接続機能が標準提供に
  • 2023〜現在AI・機械学習を活用した攻撃経路分析(Cloud Security Graph)や、開発段階からセキュリティを組み込むDevSecOps支援機能を拡充中

クラウド利用の急拡大により「設定ミス(クラウドの設定が原因のインシデント)」が増加したことが、このサービスが重要視されるようになった背景です。調査会社Gartnerは「2025年までにクラウドセキュリティインシデントの99%は顧客側の設定ミスが原因」と指摘しており、CSPMの需要が世界的に高まっています。

類似サービスとの比較

Defender for Cloudと同カテゴリの競合サービスを比較します。

サービス名提供元得意な環境特徴
Microsoft Defender for CloudMicrosoftAzure中心・マルチクラウド対応Azureとの深い統合。CSPMとCWPを一体提供
AWS Security HubAmazonAWS中心AWSサービスとのネイティブ統合が強み
Google Security Command CenterGoogleGCP中心GCPリソースの可視化・脅威検出
Prisma CloudPalo Alto Networksマルチクラウドベンダー中立。複数クラウドを横断管理
WizWizマルチクラウドエージェントレスで素早く導入できる点が人気
Defender for Cloud の2大機能 CSPM Cloud Security Posture Management クラウドセキュリティ態勢管理 🔍 設定ミスの検出・可視化 📊 セキュアスコアの算出 ✅ コンプライアンス準拠確認 🗺️ 攻撃経路の分析 CWP Cloud Workload Protection クラウドワークロード保護 🛡️ サーバーへの攻撃検知 🗄️ データベース保護 📦 コンテナ・Kubernetes保護 🔔 リアルタイムアラート 統合 両機能は Defender for Cloud のポータルから一元管理できる

関連する規格・RFC

規格・標準内容
ISO/IEC 27001情報セキュリティ管理システム(ISMS)の国際規格。Defender for Cloudのコンプライアンスダッシュボードで準拠状況を確認可能
CIS Benchmarksクラウド・OSの安全設定ガイドライン。Defender for CloudのCSPM機能がこの基準をもとに推奨事項を提示
NIST SP 800-53米国政府標準のセキュリティ管理策フレームワーク。規制コンプライアンス機能で対応状況を可視化
PCI DSSクレジットカード業界のセキュリティ標準。カード情報を扱うシステムでのコンプライアンス確認に活用

関連用語

  • クラウドセキュリティ — クラウド環境を守るための考え方・技術の総称
  • CSPM — クラウドの設定ミスを継続的に検出・管理する手法
  • ゼロトラスト — 「何も信頼しない」前提でアクセスを制御するセキュリティモデル
  • Azure — Microsoftが提供するクラウドプラットフォーム
  • SIEM — セキュリティイベントを収集・分析する統合監視システム
  • 脆弱性管理 — システムのセキュリティ上の弱点を発見・修正し続けるプロセス
  • コンプライアンス — 法令・規格・社内ルールへの適合状態
  • DevSecOps — 開発・運用の初期段階からセキュリティを組み込む開発手法