この記事でわかること企業のクラウド活用においては、不正アクセスやマルウェアなどの脅威によるセキュリティ被害が問題となっており、システムやデータの万全な管理態勢が求められています。クラウドプラットフォームにもセキュリティ設定は用意されているものの、システムの大規模化やアーキテクチャの複雑化により管理対象が増え、それに伴い設定のミスや漏れなどのヒューマンエラーも懸念されます。
今回はクラウド環境のセキュリティ管理を一元化するMicrosoft Defender for Cloudを解説していきます。セキュリティ管理の利便性を高める統合セキュリティプラットフォームを提供し、高度なセキュリティ態勢を維持しながらも管理者の負担を軽減できます。
目次 <Contents>
Microsoft Defender for Cloudとは
Microsoft Defender for Cloudは、クラウド環境を保護するためのセキュリティ機能を統合したプラットフォームサービスです。CNAPP(Cloud Native Application Protection Platform)と呼ばれる概念が基礎となっており、クラウド環境にあるリソースに対する脅威を検知したり、セキュリティ態勢の改善を提案したりと総合的なセキュリティ管理を司ります。
例えば、セキュリティ設定の不足や誤りを自動的に検出して推奨設定を提案したり、データ操作を監視して危険なプログラムがないか自動スキャンしたりできます。これらの機能は仮想マシンやコンテナ、ストレージ、データベースなどのワークロードごとに合わせて提供され、一元管理されます。
なお、保護対象はAzureサービスだけでなく、他のネットワーク上のリソースも含まれます。AWSやGoogle Cloudが混在したマルチクラウド環境や、オンプレミスの社内リソースと連携するハイブリッド環境にも対応しています。
Microsoft Defender for Cloudの機能
Microsoft Defender for Cloudは、大きく分けて次の2つの仕組みが備わっています。
クラウドセキュリティ態勢管理
Microsoft Defender for Cloudでは、Azureをはじめとしたクラウド上のリソース保護を目的とした様々な機能を統合した管理プラットフォームを提供します。アクセスの監視、攻撃のリアルタイム検出、推奨設定の提案、構成ミスの通知などのセキュリティ機能がAzure上から利用できます。
リアルタイム検出のアルゴリズムはMicrosoftのセキュリティ専門家によって日々改善されており、新しく発見された脅威パターンに対応します。また、Microsoftの他サービスから得られた知見がAIにフィードバックされ、過去の事例に一致しなくとも疑わしい攻撃を柔軟に検出可能です。
また、検出された脅威はセキュリティ管理者が対処しやすいように、重大度による分類と整理された操作インタフェースを提供します。
クラウドワークロード保護
Microsoft Defender for Cloudでは、クラウドセキュリティ態勢管理の仕組みの下で各ワークロードが保護されますが、その対象に合わせた機能を提供します。
Microsoft Defender for Servers
Azure Virtual MachinesやAWS EC2、オンプレミスなどの仮想マシンに対する保護の仕組みを提供します。仮想マシンに対して脆弱性やシステムアップデートの不足をチェックし、セキュリティスコアを算出します。セキュリティの評価は仮想マシンのスナップショットから取得できるメタデータを使用して行われます。ソフトウェアのインストールが不要なエージェントレスで動作するため、パフォーマンス低下の心配はありません。
Microsoft Defender for Containers
コンテナ環境を構成するクラスター、ノード、コンテナイメージ、レジストリなどのリソースを脅威から保護する機能です。現状のコンテナ環境を分析し、セキュリティを高めるために推奨する構成や設定を提案します。
Microsoft Defender for Databases
SQL DatabaseやAzure Cosmos DBなどAzureで扱えるデータベースの監視と保護を担う機能です。通常とは異なるアクセスをリアルタイムに監視し、不正アクセスや攻撃を検出します。例えば、SQLインジェクション、異常なクエリ、脆弱性を狙った攻撃などを重大度別に分類してアラートを出し、管理ポータルでは詳細と対処方法を提示します。
Microsoft Defender for Storage
AzureのクラウドストレージサービスであるAzure Files、Azure Blob Storageを保護する機能で、危険なファイルのアップロード、機密データの流出、データの改ざんなどの脅威を検知してアラートを発します。保護機能を有効にするだけでストレージに対する操作ログが取得され、リアルタイムに分析されるようになります。
Microsoft Defender for Cloudの使い方
Microsoft Defender for Cloudの始め方と機能を紹介していきます。
Microsoft Defender for Cloudの有効化
Azureポータルにログインし、すべてのサービス一覧から「セキュリティ」、「Microsoft Defender for Cloud」を順に選択していきしましょう。
概要ページが表示されたら、左のメニューから「管理」、「環境設定」をクリックし、リソースの一覧からサブスクリプションを選択します。
表示された環境設定ページに、各プランを有効化するトグルボタンがありますので、適用したい機能をオンにしましょう。
その後、「監視対象」に追加される「設定」のリンクから詳細設定が行えるようになります。下記はクラウドワークロード保護のサーバーの詳細設定画面です。
なお、利用が開始されると料金が発生しますので、お試しで使用する場合は注意しましょう。
Microsoft Defender for Cloudの機能例
Microsoft Defender for Cloudの管理下に置かれているリソースの保護状態や脆弱性が検出、評価され、セキュリティスコアが算出されます。例えば下記のようにパーセンテージで示され、その詳細として重大度でトリアージされた項目も表示されます。
Microsoft Defender for Endpointとの違い
Azureのセキュリティサービスの1つにMicrosoft Defender for Endpointと呼ばれる機能が存在します。ただし、Microsoft Defender for EndpointはMicrosoft Defender for Cloudの一部として機能し、両者の目的や役割は異なります。
Microsoft Defender for Endpointは、サーバーやモバイル機器などの物理的な端末をMicrosoft Defender for Cloudの管理下に置くための仲介役を担います。物理端末に拡張機能をインストールすることで保護対象をクラウド上で一元管理し、物理端末の情報を収集して異常を検出したりデータを保護したりすることを目的としています。
Microsoft Defender for Cloudの利用料金
Microsoft Defender for Cloudの料金体系は、利用時間に応じて変動する従量課金制です。機能を有効化した時点で課金されますが、一部機能(*)を除いて最初の30日間は無料になります。
* Microsoft Defender for Storageのマルウェアスキャンは対象外です。
クラウドセキュリティ態勢管理
| プラン | 料金 |
|---|---|
| Foundational CSPM | 無料 |
| Defenderクラウドセキュリティ態勢管理(CSPM) | ¥1.036/請求対象リソース/時間 |
クラウドワークロード保護プラン
サーバー
| リソース | 料金 |
|---|---|
| Microsoft Defender for Servers プラン 1 | ¥0.994/サーバー/時間 |
| Microsoft Defender for Servers プラン 2 | ¥2.958/サーバー/時間 |
コンテナ
| リソース | 料金 |
|---|---|
| Microsoft Defender for Containers | ¥1.3914/仮想コア/時間 |
データベース
| リソース | 料金 |
|---|---|
| Microsoft Defender for SQL on Azure-connected databases Microsoft Defender for SQL Servers on machines (in Azure, or Arc-enabled) | ¥3.039/インスタンス/時間 |
| Microsoft Defender for SQL Servers on machines (outside Azure and not Arc-enabled) | ¥2.218/インスタンス/仮想コア/時間 |
| Microsoft Defender for MySQL | ¥3.039/インスタンス/時間 |
| Microsoft Defender for PostgreSQL | ¥3.039/インスタンス/時間 |
| Microsoft Defender for MariaDB | ¥2.987/インスタンス/時間 |
| Microsoft Defender for Azure Cosmos DB | ¥0.1775 (100 RU/S/時間あたり) |
ストレージ
| リソース | 料金 |
|---|---|
| Microsoft Defender for Storage | ストレージ アカウント1時間あたり¥1.9814 |
| マルウェア スキャン | スキャンされたデータあたりの¥22.180/GB |
なお、これらの利用料金は2025年9月時点の情報で、東日本リージョンでの料金を1ドル147.86円換算で算出しています。その他のプランや最新の料金についてはAzure公式サイトの価格ページをご参考ください。
まとめ
Microsoft Defender for Cloudは、マルチクラウドやハイブリッドのクラウド環境を保護する統合セキュリティプラットフォームです。クラウドセキュリティを維持するためのソリューションで、セキュリティ設定の評価と提案、疑わしいアクセスの検出と分類を自動的に行います。また、AzureやAWS、GCP、オンプレミスのセキュリティ管理を一元化でき、脅威に対する迅速な対応や安定運用が期待できます。
お客様が運営するクラウドの監視・保守・運用業務を、ジードが代行いたします。
お客様のご要望に沿って、適切なクラウド選定から設計・構築までを行います。
Azure上で、AI + 機械学習、分析、ブロックチェーン、IoTを開発します。