ある企業がAzureで「クラウドネイティブなセキュリティ運用(CloudSecOps)」を構築しようとしている。複数のAzureサブスクリプションにまたがるセキュリティポリシーを一元管理し、全リソースのセキュリティ推奨事項を自動的に取得・優先順位付けし、Defenderプランで特定サービスの脅威検出を有効化したい。最も適切なAzureサービスはどれか。
- A. Azure Policy:リソースのプロパティルールを強制する
- B. Microsoft Defender for Cloud:CSPM(クラウドセキュリティ態勢管理)とCWP(クラウドワークロード保護)を提供する統合セキュリティ管理サービス
- C. Azure Monitor:メトリクスとログの収集・分析
- D. Microsoft Entra ID(旧 Azure AD):IDとアクセス管理
解答と解説を見る
正解: B
Microsoft Defender for Cloudは2つの主要機能を提供する。CSPM(クラウドセキュリティ態勢管理)では全リソースのSecure Scoreと推奨事項を一元管理し、マルチサブスクリプション・マルチクラウドにも対応。CWP(クラウドワークロード保護)ではDefender for Servers・Defender for SQL・Defender for Containers・Defender for App Serviceなど特定サービスの高度な脅威検出プランを有効化できる。選択肢AAzure Policyはリソースプロパティの強制(コンプライアンス)を行うが、脅威検出や推奨事項の自動スコアリングはDefender for Cloudが担当。選択肢DのEntra IDはIDとアクセス管理に特化しており、インフラ全体のセキュリティ態勢管理は担当しない。選択肢CAzure MonitorはKPIとログ収集であり、セキュリティ推奨・脅威検出(CSPM/CWP)機能はDefender for Cloudが持つ。
📚 関連サービスの解説: Microsoft Defender for Cloud