Microsoft Defender for Containers 有効化設定手順

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Microsoft Defender for Containersが無効化されている場合のセキュリティリスクと、具体的な有効化手順を詳細に解説します。

ポリシーの説明

Microsoft Defender for Containersは、コンテナ環境全体に対するクラウドネイティブのセキュリティソリューションです。Azure Kubernetes Service (AKS)、Amazon EKS、Google GKE、Azure Arc対応 Kubernetes、オンプレミスのKubernetesクラスタを含むマルチクラウド・ハイブリッド環境をサポートします。コンテナイメージの脆弱性評価、ランタイム脅威検出、Kubernetesセキュリティ態勢管理、サプライチェーン保護を統合的に提供し、DevSecOpsの実現を支援します。

修復方法

コンソールでの修復手順

Azure Portalを使用して、Microsoft Defender for Containersを有効化します。

手順1: Microsoft Defender for Cloudでの有効化

前提条件

• 必要なAzure RBACロール：Security AdminまたはSubscription Contributor
• サポートされるKubernetesバージョン：1.24以降（AKSはサポートされるバージョンを自動管理）

手順

1. Azure Portalにサインイン
   • https://portal.azure.com にアクセス
   • 認証情報を使用してサインイン
2. Microsoft Defender for Cloudへのナビゲーション
   • Azure Portal上部の検索バーに「Microsoft Defender for Cloud」を入力
   • 検索結果から「Microsoft Defender for Cloud」を選択
3. 環境設定への移動
   • 左側ナビゲーションメニューで「管理」セクションを展開
   • 「環境設定」をクリック
   • サブスクリプションリストから対象のサブスクリプションを選択

4. Defenderプランの設定
   • 「Defender プラン」タブをクリック
   • 「Containers」の行を探す
   • ステータスを「オフ」から「オン」に変更

5. プラン設定の確認
   • 「設定の編集」をクリック
   • 以下のコンポーネントがすべて有効になっていることを確認：

• Kubernetesワークロード保護：ランタイム脅威検出
• コンテナレジストリの脆弱性評価：ACR、ECR、GCR対応
• Agentless discovery for Kubernetes：エージェントレス検出
• Agentless container vulnerability assessment：エージェントレス脆弱性評価

6. 設定の保存と適用
   • 「保存」ボタンをクリック
   • 確認ダイアログが表示された場合は「はい」を選択
   • 変更の適用には15〜30分程度かかる場合があります

手順2: AKSクラスタへの拡張機能のデプロイ

1. AKSクラスタへのナビゲーション
   • Azure Portalで「Kubernetesサービス」を検索
   • 対象のAKSクラスタを選択
2. Defenderプロファイルの有効化
   • 左側メニューの「セキュリティ」セクションを展開
   • 「Microsoft Defender」をクリック
   • 「Defender プロファイル」セクションで「有効化」をクリック
3. 自動デプロイされるコンポーネントの確認
   • Defenderセンサー：defender-sensor DaemonSet（ランタイム保護）
   • Azure Policyアドオン：azure-policyポッド（ポリシー評価）
   • Azure Monitorエージェント：oms-agent DaemonSet（ログ収集）
4. デプロイステータスの確認 # kubectlで確認（オプション） kubectl get pods -n kube-system | grep defender kubectl get pods -n kube-system | grep azure-policy kubectl get pods -n kube-system | grep oms

手順3: コンテナレジストリの統合

1. Azure Container Registryへのナビゲーション
   • Azure Portalで「コンテナーレジストリ」を検索
   • 対象のACRを選択
2. 脆弱性評価の確認
   • 左側メニューの「セキュリティ」から「Microsoft Defender for Cloud」をクリック
   • 「脆弱性評価」が自動的に有効になっていることを確認
3. スキャンポリシーの構成
   • スキャントリガー：プッシュ時自動スキャン
   • 定期スキャン：既存イメージの再スキャン
   • 重大度フィルター：Critical/High/Medium/Lowの設定

最後に

この記事では、Microsoft Defender for Containersが無効化されている場合のセキュリティリスクと、具体的な有効化手順を詳細に解説しました。コンテナ環境は攻撃面が広く、サプライチェーン攻撃、ランタイム脅威、設定ミスなど、多様なリスクにさらされています。Microsoft Defender for Containersは、これらのリスクに対して包括的な保護を提供し、DevSecOpsの実現を支援する重要なソリューションです。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• Microsoft Defender for Containers の概要
• Defender for Containers を有効にする
• Kubernetes ワークロード保護
• Azure Container Registry での脆弱性評価
• AKS での Container Insights
• Azure セキュリティ ベンチマーク v3 – ワークロードセキュリティ
• CIS Kubernetes Benchmark
• NIST SP 800-190: コンテナセキュリティガイド
• Pod Security Standards
• Microsoft Defender for Cloud の価格
• AKS の価格
• Azure Container Registry の価格
• Microsoft Security Blog – Container Security