Microsoft Defender for Cloud 完全ガイド｜CSPM・CWPP・Just-in-Time VM・マルチクラウド保護

Microsoft Defender for Cloud (旧 Azure Security Center) は、Azure・AWS・GCP のクラウド環境を包括的に保護する CSPM (Cloud Security Posture Management) + CWPP (Cloud Workload Protection Platform) 統合プラットフォーム。CSPM 機能で組織のセキュリティ姿勢を可視化 (Microsoft Secure Score)・コンプライアンス評価 (NIST・ISO・PCI DSS 等)・推奨事項を提供。CWPP 機能で個別 Azure リソース (VM・Storage・SQL DB・Key Vault・AKS・App Service・OSS DB) を脅威検知・脆弱性スキャン・Just-in-Time VM Access で保護。マルチクラウド対応 (AWS Connector・GCP Connector) でエンタープライズの統合セキュリティ管理を実現します。

Free Tier (CSPM 基本機能のみ無料): Security Score・Recommendations・Secure Score・Microsoft Cloud Security Benchmark 評価・Asset Inventory。Defender Plans (有料、リソース別): Defender for Servers Plan 1/2 (EDR・Vulnerability Assessment・Adaptive Application Controls)・Defender for Storage (悪意のあるファイルアップロード検知・Sensitive Data Discovery)・Defender for SQL (脅威検知・Vulnerability Assessment)・Defender for Containers (AKS 保護・コンテナイメージスキャン)・Defender for Key Vault・Defender for App Service・Defender for OSS DB・Defender for Resource Manager・Defender for DNS・Defender for DevOps (GitHub/Azure DevOps 統合)・Defender CSPM (高度 CSPM・Attack Path 分析)。Plan 単位で有効化、リソース別に課金。本番環境では Defender for Servers・SQL・Storage・Key Vault・Containers が必須レベルです。

Microsoft Secure Score は、組織の Azure セキュリティ姿勢を 0-100% で数値化した指標。Microsoft Cloud Security Benchmark (旧 Azure Security Benchmark) ベースのコントロール項目 (例: VM のディスク暗号化・Storage の Public Access 無効化・SQL DB の Auditing 有効化) を評価、達成度に応じてスコア算出。Recommendations (推奨事項) で改善ポイントが具体的に提示される (例: 『VM Disk 暗号化を有効化』ボタン → 自動修復)。Multi-cloud (AWS・GCP) も統合スコアリング。目標値は組織により異なるが、本番環境は 70-80% 以上が標準的なベンチマーク。経営層への報告指標としても活用され、コンプライアンス監査・取締役会セキュリティ報告で頻用される重要メトリクスです。

JIT VM Access は、VM の管理ポート (RDP 3389・SSH 22・PowerShell Remoting 5986) を常時開放せず、必要時のみ時限的にアクセス許可する Defender for Servers 機能。デフォルトでは管理ポートを NSG で Deny → ユーザーが Defender for Cloud から Request Access (3 時間など指定) → NSG ルールを動的に変更してユーザーの送信元 IP のみ Allow → 期限切れで自動 Deny。Brute Force 攻撃・スキャナーからの常時露出を排除、本番 VM セキュリティの大幅向上。Microsoft Entra ID 認証 + Conditional Access 統合で『Compliant Device からのみ JIT Activate 可能』のような厳格制御も可能。本番運用ではすべての Public IP 付き VM に JIT 必須適用が現代のベストプラクティスです。

Vulnerability Assessment は、VM・コンテナイメージ・SQL DB の脆弱性を自動スキャンする機能。Defender for Servers Plan 2 に統合された Microsoft Defender Vulnerability Management (MDVM) で、CVE データベースベースで OS・ソフトウェア・ミドルウェアの脆弱性を検出、CVSS スコアで優先順位付け、修復ガイド提供。VM: 月次自動スキャン + リアルタイム検知。Container Registry: イメージ Push 時に自動スキャン + Runtime 検知 (Defender for Containers)。SQL DB: 月次スキャン + ベースライン化された推奨事項。脆弱性検出後の対応: Patch Tuesday 適用 (Windows)・apt/yum update (Linux)・コンテナイメージ再ビルド・SQL DB の Security Baseline 適用。本番運用では Defender for Cloud の Vulnerability Assessment + Microsoft Update Manager を組み合わせた自動パッチ管理が標準です。

Defender for Cloud は AWS Connector・GCP Connector で他クラウドリソースも保護対象に。AWS Connector: AWS Account を Defender for Cloud に接続、CSPM (Recommendations・Secure Score) + CWPP (Defender for Servers が AWS EC2 にも適用・Defender for SQL が RDS にも適用)。GCP Connector: GCP Project を接続、Compute Engine VM への Defender for Servers 適用。Multi-cloud Secure Score で Azure・AWS・GCP の統合ダッシュボード提供、一元的なセキュリティ姿勢管理。エンタープライズでの代表パターン: メインクラウド (Azure) + サブクラウド (AWS) の統合管理を Defender for Cloud で実現、SOC アナリストが単一画面で全環境を監視。Multi-cloud 統合により Microsoft セキュリティスタックがマルチクラウド企業の中核プラットフォームとなる構成です。

Defender for Cloud と Microsoft Sentinel は補完的な関係。Defender for Cloud: クラウドリソースの『セキュリティ姿勢管理 + 個別リソース保護』が中心、Recommendations・Security Alerts を生成。Microsoft Sentinel: 組織全体の『脅威検知・インシデント対応・Threat Hunting』が中心、Defender for Cloud のアラートや他のソース (Defender XDR・サードパーティ FW・SaaS アプリ) を集約。標準パターン: Defender for Cloud で Security Alerts 生成 → Microsoft Sentinel に連携 (Data Connector で自動取り込み) → Sentinel で KQL 分析・Logic App Playbook 自動応答・Threat Hunting。両者の組み合わせで Microsoft クラウドセキュリティの完成形を実現、SOC アナリストにとって両ツール深い理解が必須です。

SC-200 (Security Operations Analyst Associate) のドメイン 2 (Configure protections and detections 15-20%) で Defender for Cloud が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Infrastructure 柱として、AZ-104 (Administrator) のドメイン 5 で監視機能、MS-102 (Microsoft 365 Administrator Expert) のドメイン 3 で Defender XDR との連携、SC-500 (旧 AZ-500、2026-09 GA) で Azure セキュリティ実装全般。Microsoft セキュリティスタックの中核で、SOC アナリスト・セキュリティアーキテクトにとって必須スキルです。