Microsoft Defender for Cloudを使ってAWS環境を保護する方法

こんにちは、MS開発部の渋谷です。

AIの活用が拡がる中でますますセキュリティが重要視されるようになってきました。マイクロソフト社からは様々なセキュリティ製品が提供されていますが、本記事ではMicrosoft Defender for Cloudを取り上げます。

Defender for Cloudを使用することでマイクロソフト製品だけでなく、Amazon Web Service(AWS)やGoogle Cloudなどマルチクラウド環境を統合的に保護することができるようになります。

本記事ではAWSとの接続方法をご紹介します。

Microsoft Defender for Cloudとは

Microsoft Defender for Cloudは、クラウドベースのアプリケーションをさまざまなサイバー脅威や脆弱性から保護するように設計されたセキュリティ対策とベストプラクティスを含む、クラウドネイティブアプリケーション保護プラットフォーム(通称: CNAPP)です。GitHubやAzure DevOpsなどの開発環境から、アプリケーションプラットフォームまで統合した一つの環境で管理・保護できるのが特長です。

一般的にクラウドを利用する上でセキュリティの考慮は欠かせませんが、セキュリティ製品はたくさん存在しておりどれをどのように組み合わせて使えばいいのかを判断するのは非常に労力がかかります。さまざまな3rd Party製品を組み合わせてゼロトラストを実現することもできなくはないかと思いますが、専門性と高度な知識が必要になるためどの企業でも上手くいくとは言えません。

マイクロソフト製品にセキュリティをまとめることは管理・運用負担を減らすことにも繋がります。さまざまなレイヤーで必要となるセキュリティの機能を全て1st Partyで提供しているマイクロソフト製品を活用するのは安心感があるのではないでしょうか。また、マルチクラウドの利用が拡がる中でセキュリティもマルチ環境で運用するのは難易度が高いため、できる限り運用コストが少なく統合的に管理できるプラットフォームを求めるお客様が増えてきています。Defender for Cloudはそのようなお客様のニーズにお応えするサービスです。

Defender for Cloudの詳細は公式ドキュメントをご参照ください。

Defender for CloudとAWSを接続してみる

それでは早速設定してみましょう。

Microsoft Defender for CloudはAzureポータルから操作をすることができます。Azureポータルにサインインをし、画面上部の検索欄に「Defender」と入力をすると「Microsoft Defender for Cloud」を選択できます。

Defender for Cloudの画面に遷移後、画面左の「環境設定」のメニューを選択し、「+環境の追加」から「アマゾンウェブサービス」を選択します。

コネクタ名やAWSアカウントIDなど入力必須事項を記載後「次へ:プランの選択＞」をクリックします。(※AWSアカウントIDはAWSコンソール画面右上に表示されるご自身のアカウント名をクリックすると表示されます。)

スキャンしたいサービスを「オン」に設定し「次へ: アクセスの構成＞」に進みます。

AWS CloudFormationのテンプレートを「ダウンロード」します。ダウンロード後、青字で表示されている「AWS CloudFormation スタックに移動します」をクリックするとAWSのコンソール画面に遷移します。

「テンプレートファイルのアップロード」を指定すると先ほどダウンロードしたファイルをアップロードできます。アップロード後「次へ」を選択します。

任意のスタック名を入力し「次へ」を選択します。

設定を確認後「次へ」を選択します。

内容を確認して「送信」を選択します。

Azureポータルに戻り、「作成」をクリックするとデプロイがはじまります。

しばらくするとDefender for Cloudの画面に「AWSアカウント」の情報が表示されます。

さいごに

本記事ではMicrosoft Defender for CloudとAWSを接続する方法を紹介しました。

公式ドキュメントにもまとまっている情報ですが細かな部分が省略されているため、本記事ではできるだけ詳細な手順を記載しました。AWS側のIAMの設定確認などが多少複雑なところはありますが、手順を適切に進めていけばそこまで難しくなく時間もかけずに設定をすることができます。

マルチクラウド時代におけるセキュリティ管理手法の一つとして参考になりましたら幸いです。