Microsoft Defender for Cloudの規制コンプライアンス評価機能を使って、セキュリティ標準に基づいて環境を評価してみる
はじめに
Microsoft Defender for Cloudでは各種セキュリティ標準に基づいたコンプライアンス評価が可能です。
この記事では、デフォルトで有効になっているMicrosoftが定めるクラウドセキュリティのベンチマークであるMicrosoft Cloud Security Benchmarkに加えて、NISTやPCI DSSといったセキュリティ標準に基づいて環境内のリソースを評価する方法を記載します。
Microsoft Defender for Cloudとは
Microsoft Defender for Cloudは、Microsoftが提供するクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) で、以下の3つのコンポーネントから構成されています。
- 開発セキュリティ運用 (DevSecOps)
- Cloud Security Posture Management (CSPM)
- Cloud Workload Protection Platform (CWPP)
Defender CSPMとは
Microsoft Defender for CloudのCSPM機能は有償プランと無償プランがあります。
- Foundational CSPM(無償版):Defender for Cloud にオンボードするサブスクリプションとアカウントに対して既定で有効になっている無料プラン。
- Defender CSPM(有償版):Foundational CSPM プラン以外の追加機能を提供する有料プラン。 AI セキュリティ体制、攻撃パス分析、リスクの優先順位付けなど、より高度なセキュリティ体制機能が提供される。
この記事で紹介する規制コンプライアンス評価について、Microsoft Cloud Security Benchmarkの利用は無償版で提供されていますが、その他のセキュリティ標準による評価は有償版を有効にする必要があります。
両者で利用可能な機能は以下の通りです。
| Feature | Foundational CSPM(無償版) | Defender CSPM(有償版) | Cloud availability |
|---|---|---|---|
| セキュリティに関する推奨事項 | ⚪ | ⚪ | Azure, AWS, GCP, on-premises, Docker Hub, JFrog Artifactory |
| 資産インベントリ | ⚪ | ⚪ | Azure, AWS, GCP, on-premises, Docker Hub, JFrog Artifactory |
| セキュリティ スコア | ⚪ | ⚪ | Azure, AWS, GCP, on-premises, Docker Hub, JFrog Artifactory |
| Azure Workbooks を使用したデータの視覚化とレポート | ⚪ | ⚪ | Azure, AWS, GCP, on-premises |
| データのエクスポート | ⚪ | ⚪ | Azure, AWS, GCP, on-premises |
| ワークフローの自動化 | ⚪ | ⚪ | Azure, AWS, GCP, on-premises |
| 修復のためのツール | ⚪ | ⚪ | Azure, AWS, GCP, on-premises, Docker Hub, JFrog Artifactory |
| Microsoft Cloud Security Benchmark | ⚪ | ⚪ | Azure, AWS, GCP |
| AI セキュリティ体制管理 | - | ⚪ | Azure, AWS |
| エージェントレス VM の脆弱性スキャン | - | ⚪ | Azure, AWS, GCP |
| VM シークレットのエージェントレス スキャン | - | ⚪ | Azure, AWS, GCP |
| 攻撃パス分析 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| リスクの優先順位付け | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| セキュリティ エクスプローラーを使用したリスクハンティング | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| コンテナーのコードからクラウドへのマッピング | - | ⚪ | GitHub, Azure DevOps, Docker Hub, JFrog Artifactory |
| IaC のコードからクラウドへのマッピング | - | ⚪ | Azure DevOps, Docker Hub, JFrog Artifactory |
| PR 注釈 | - | ⚪ | GitHub, Azure DevOps |
| インターネット露出分析 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 外部攻撃面の管理 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| 規制コンプライアンス評価 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| ServiceNow 統合 | - | ⚪ | Azure, AWS, GCP |
| 重要な資産保護 | - | ⚪ | Azure, AWS, GCP |
| 大規模な修復を推進するためのガバナンス | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| データ セキュリティ体制管理 (DSPM)、機密データ スキャン | - | ⚪ | Azure, AWS, GCP |
| Kubernetes のエージェントレス検出 | - | ⚪ | Azure, AWS, GCP |
| カスタム推奨事項 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| エージェントレス コードからクラウドまでのコンテナの脆弱性評価 | - | ⚪ | Azure, AWS, GCP, Docker Hub, JFrog Artifactory |
| API セキュリティ体制管理 (プレビュー) | - | ⚪ | Azure |
| Azure Kubernetes Service セキュリティ ダッシュボード (プレビュー) | - | ⚪ | Azure |
料金
Defender CSPM(有償版)の料金は利用する機能に関わらず 対象リソース * $5.11/月 で計算されます。
対象のリソースは以下のとおりです。
- VM
- ストレージ アカウント
- OSS DB
- マシン上の SQL PaaS & サーバー
やってみる
Foundational CSPM(無償版) の確認
まずは、Azureポータルを開き、Microsoft Defender for Cloudのページを開きます。
サイドタブから「規制コンプライアンス」をクリックします。
無償プランのデフォルトでMicrosoft cloud security benchmarkの規制コンプライアンスが有効になっています。
ポップにその旨が記載されています。
Microsoft Cloud Security Benchmark は無料で使用できます。他の標準へのコンプライアンスを追跡するには、関連する Defender プランを有効にします
続いて失敗になっているコントロールを開いてみます。
「サブスクリプションに対して、最大 3 人の所有者を指定する必要がある」というコントロールが失敗していることがわかるので、クリックして詳細を確かめてみます。
以下のような画面に遷移し、「影響を受けるリソース」や「スコープ」から対象のサブスクリプションが特定できます。
リスクレベル、リスク要因、攻撃パスという項目も無料プランではサポートされていないので、未評価やモザイク等で表示されなくなっています。
Defender CSPM(有償版)の有効化
Azureポータルを開き、Microsoft Defender for Cloudのページを開きます。
サイドタブから「環境設定」をクリックします。
Defender CSPMを有効にしたいサブスクリプション(sandbox-02)をクリックします。
状態をクリックし「オン」に設定します。
※Defender CSPMを有効にするとサブスクリプション内の対象リソースに対して毎月5ドル課金が発生するので、初めはリソースの少ない環境での検証をおすすめします。
「保存」をクリックして設定を保存します。
注意書き等はなくオンにすることができました。
Foundational CSPM(無償版)で確認した「サブスクリプションに対して、最大 3 人の所有者を指定する必要がある」というコントロールを再び見てみます。
無償版の時は見えなかった「リスクレベル」「リスク要因」「攻撃パス」などの項目が見れるようになっていました。
Defender CSPM(有償版)が有効になっていないサブスクリプション(sandbox-01)はモザイクがかったままなので、両者の比較がしやすいですね。
セキュリティ標準の有効化
Defender CSPM(有償版)の有効化すると、以下のセキュリティ標準による強化が可能になります。
(公式ドキュメントからの引用ですが、実際のコンソールと若干の差分がありそうです)
| セキュリティ標準 | 対象クラウド |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| EU General Data Protection Regulation (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS Controls v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| CIS Google Cloud Platform Foundation Benchmark | GCP |
| CIS Azure Kubernetes Service (AKS) Benchmark | Azure |
| CIS Amazon Elastic Kubernetes Service (EKS) Benchmark | AWS |
| CIS Google Kubernetes Engine (GKE) Benchmark | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Customer Security Controls Framework 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Cybersecurity Maturity Model Certification (CMMC) Level 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Criminal Justice Information Services Security Policy v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Brazilian General Data Protection Law (LGPD) 2018 | Azure, AWS, GCP |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS, GCP |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
| Australian Government ISM Protected | Azure |
| FedRAMP 'H' & 'M' | Azure |
| HIPAA | Azure |
| RMIT Malaysia | Azure |
| SOC 2 | Azure, GCP |
| Spanish ENS | Azure |
| California Consumer Privacy Act (CCPA) | AWS, GCP |
| UK OFFICIAL and UK NHS | Azure |
| AWS Foundational Security Best Practices | AWS |
| CRI Profile | AWS, GCP |
| NIST SP 800-172 | AWS, GCP |
| Digital Operational Resilience Act (DORA) | Azure, AWS, GCP |
| European Union Artificial Intelligence Act (EU AI Act) | Azure, AWS, GCP |
| Korean Information Security Management System for Public Cloud (k-ISMS-P) | Azure, AWS, GCP |
| (CIS) Microsoft Azure Foundations Benchmark v3.0 | Azure |
ここからは、追加でNIST SP 800-171 Rev. 2のセキュリティ標準を有効にしてみます。
Defender for Cloudページから「環境設定」をクリックします。
有効にしたい管理グループ、もしくはサブスクリプションを選択します。
管理グループで有効にすると、その配下のサブスクリプションに対しても設定が継承されます。
今回はsandbox-02というサブスクリプションに対して設定していきます。
「セキュリティポリシー」をクリックします。
NIST SP 800-171 Rev. 2の状態をクリックし、オンにします。
このセキュリティ標準には必須パラメータがあるので、設定値を入力して「保存」をクリックします。
正常に割り当てが完了しました。
Defender for Cloudページから「規制コンプライアンス」をクリックします。
先ほど有効にしたセキュリティ標準のタブが表示されるようになりました。
クリックすると、NIST SP 800-171 Rev. 2に基づいた評価結果が確認可能になりました。
最後に
この記事は、Microsoft Cloud Security Benchmark以外のセキュリティ標準を有効にし規制コンプライアンス評価を行ってみました。
組織内で準拠すべきセキュリティ標準が明確な場合などに有効化を検討してみてください。
